Sâu TeamPCP
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quy mô lớn, do sâu máy tính điều khiển, nhắm mục tiêu một cách có hệ thống vào các môi trường điện toán đám mây để xây dựng cơ sở hạ tầng độc hại cho việc khai thác sau này. Hoạt động liên quan đến chiến dịch này được quan sát thấy vào khoảng ngày 25 tháng 12 năm 2025, cho thấy một nỗ lực phối hợp nhằm lạm dụng các dịch vụ và lỗ hổng bảo mật trên các nền tảng điện toán đám mây hiện đại.
Mục lục
TeamPCP: Một cụm mối đe dọa đang nổi lên nhanh chóng
Chiến dịch này được cho là do một nhóm tin tặc có tên gọi TeamPCP thực hiện, nhóm này còn được biết đến với các biệt danh như DeadCatx3, PCPcat, PersyPCP và ShellForce. Bằng chứng cho thấy nhóm này đã hoạt động ít nhất từ tháng 11 năm 2025, với các hoạt động liên quan trên Telegram có từ ngày 30 tháng 7 năm 2025. Kênh Telegram của TeamPCP, hiện có hơn 700 thành viên, được sử dụng để công bố dữ liệu bị đánh cắp liên quan đến các nạn nhân ở Canada, Serbia, Hàn Quốc, Các Tiểu vương quốc Ả Rập Thống nhất và Hoa Kỳ.
Các nhà nghiên cứu lần đầu tiên ghi nhận các hoạt động của nhóm này vào tháng 12 năm 2025 dưới tên gọi Chiến dịch PCPcat.
Lạm dụng cơ hội các điểm yếu của kiến trúc điện toán đám mây
TeamPCP hoạt động như một nền tảng tội phạm mạng dựa trên điện toán đám mây, khai thác các giao diện quản trị bị lộ, các cấu hình sai phổ biến và các lỗ hổng nghiêm trọng, bao gồm cả lỗ hổng React2Shell mới được phát hiện gần đây (CVE-2025-55182, CVSS 10.0). Các con đường lây nhiễm chính được quan sát thấy trong chiến dịch này bao gồm:
Các API Docker, API Kubernetes, bảng điều khiển Ray, máy chủ Redis và các ứng dụng React/Next.js dễ bị tổn thương đã bị lộ.
Những điểm yếu này bị khai thác không phải để nhắm vào các ngành công nghiệp cụ thể, mà để chiếm đoạt cơ hội từ cơ sở hạ tầng, thường xuyên nhất là trong môi trường Amazon Web Services và Microsoft Azure, biến các tổ chức bị ảnh hưởng thành nạn nhân gián tiếp.
Khai thác công nghiệp quy mô lớn
Thay vì dựa vào các kỹ thuật mới lạ, TeamPCP nhấn mạnh vào quy mô và tự động hóa. Hoạt động này kết hợp các công cụ đã được thiết lập, các lỗ hổng đã biết và các cấu hình sai được ghi nhận rộng rãi để công nghiệp hóa việc khai thác. Các môi trường bị xâm nhập được biến đổi thành một hệ sinh thái tội phạm tự lan truyền, hỗ trợ việc quét, di chuyển ngang, duy trì hoạt động và kiếm tiền.
Các mục tiêu tổng thể bao gồm xây dựng cơ sở hạ tầng proxy và quét phân tán, đánh cắp dữ liệu, triển khai phần mềm tống tiền, tiến hành các chiến dịch tống tiền và khai thác tiền điện tử. Các tài sản bị xâm phạm cũng được sử dụng lại cho mục đích lưu trữ dữ liệu, dịch vụ proxy và chuyển tiếp lệnh và kiểm soát.
Tải trọng mô-đun và công cụ nhận biết đám mây
Việc truy cập thành công ban đầu cho phép phân phối các payload thứ cấp từ các máy chủ bên ngoài, thường ở dạng shell hoặc Python, được thiết kế để mở rộng phạm vi của chiến dịch. Một thành phần trung tâm, proxy.sh, cài đặt các tiện ích proxy, ngang hàng (peer-to-peer) và đường hầm (tunneling) đồng thời triển khai các trình quét liên tục dò tìm trên internet để tìm các mục tiêu dễ bị tổn thương mới.
Đáng chú ý, proxy.sh thực hiện việc nhận dạng môi trường thời gian chạy để xác định xem nó có đang thực thi bên trong một cụm Kubernetes hay không. Khi phát hiện môi trường như vậy, tập lệnh sẽ đi theo một đường dẫn thực thi riêng biệt và triển khai các tải trọng dành riêng cho cụm, nhấn mạnh cách tiếp cận được tùy chỉnh của nhóm đối với các mục tiêu điện toán đám mây.
Một phần nhỏ các tải trọng hỗ trợ bao gồm:
- scanner.py, chương trình tải xuống các dải CIDR từ tài khoản GitHub liên kết với DeadCatx3 để xác định các API Docker và bảng điều khiển Ray bị cấu hình sai, với tùy chọn khai thác tiền điện tử thông qua mine.sh
- kube.py tập trung vào việc thu thập thông tin xác thực Kubernetes, khám phá các pod và namespace dựa trên API, lan truyền thông tin qua các pod có thể truy cập và duy trì thông qua các pod có đặc quyền được gắn trên mỗi node.
- react.py, một công cụ khai thác lỗ hổng bảo mật của React (CVE-2025-29927) để thực thi lệnh từ xa trên quy mô lớn.
- pcpcat.py, công cụ quét các dải địa chỉ IP rộng để tìm các API Docker và bảng điều khiển Ray bị lộ thông tin, đồng thời triển khai các container hoặc tác vụ độc hại chạy các payload được mã hóa Base64.
Khả năng chỉ huy và kiểm soát cũng như khả năng xử lý sau khai thác
Các nhà nghiên cứu đã liên kết một nút điều khiển và kiểm soát tại 67.217.57[.]240 với hoạt động này, lưu ý sự trùng lặp với việc sử dụng Sliver, một khung C2 mã nguồn mở hợp pháp thường bị các tác nhân đe dọa lạm dụng trong các giai đoạn sau khi khai thác.
Mô hình kiếm tiền kết hợp được xây dựng để phục hồi mạnh mẽ
Chiến dịch PCPcat thể hiện một chu trình tấn công hoàn chỉnh, bao gồm quét, khai thác, duy trì, tạo đường hầm, đánh cắp dữ liệu và kiếm tiền, được thiết kế đặc biệt cho cơ sở hạ tầng đám mây. Mối nguy hiểm chính do TeamPCP gây ra không nằm ở sự đổi mới kỹ thuật, mà ở sự tích hợp hoạt động và quy mô. Hầu hết các cuộc tấn công và phần mềm độc hại đều tận dụng các lỗ hổng đã biết và các công cụ mã nguồn mở được sửa đổi nhẹ.
Đồng thời, nhóm này kết hợp việc lạm dụng cơ sở hạ tầng với hành vi đánh cắp dữ liệu và tống tiền. Các cơ sở dữ liệu hồ sơ cá nhân, thông tin nhận dạng và dữ liệu doanh nghiệp bị rò rỉ được ShellForce công bố để phục vụ các hoạt động tấn công mã độc tống tiền, gian lận và xây dựng danh tiếng trong hệ sinh thái tội phạm mạng. Chiến lược kiếm tiền kép này, thu lợi từ cả tài nguyên điện toán và thông tin bị đánh cắp, cung cấp nhiều nguồn thu và tăng khả năng chống chịu trước sự gián đoạn và các vụ triệt phá.
