TeamPCP蠕虫
网络安全研究人员发现了一场大规模的蠕虫病毒攻击活动,该活动系统性地针对云原生环境,构建恶意基础设施以供后续利用。与此行动相关的活动在2025年12月25日左右被发现,揭示了攻击者有组织地利用现代云平台中暴露的服务和漏洞进行攻击。
目录
TeamPCP:一个迅速崛起的新兴威胁集群
此次网络攻击活动被归咎于一个名为 TeamPCP 的威胁组织,该组织还使用过 DeadCatx3、PCPcat、PersyPCP 和 ShellForce 等别名。证据表明,该组织至少从 2025 年 11 月就开始活动,相关的 Telegram 活动可以追溯到 2025 年 7 月 30 日。TeamPCP 的 Telegram 频道目前拥有超过 700 名成员,用于发布与加拿大、塞尔维亚、韩国、阿联酋和美国受害者相关的被盗数据。
研究人员于 2025 年 12 月首次记录了该行动,并将其命名为“PCPcat 行动”。
利用云原生技术的弱点进行机会主义滥用
TeamPCP 是一个云原生网络犯罪平台,利用暴露的管理接口、常见的错误配置和关键漏洞(包括最近披露的 React2Shell 漏洞 (CVE-2025-55182, CVSS 10.0))进行攻击。此次攻击活动中观察到的主要感染途径包括:
暴露的 Docker API、Kubernetes API、Ray 控制面板、Redis 服务器以及存在漏洞的 React/Next.js 应用程序
这些弱点并非针对特定行业,而是被利用来伺机夺取基础设施,最常发生在亚马逊网络服务和微软 Azure 环境中,使受影响的组织成为附带受害者。
大规模工业化开发
TeamPCP 并不依赖新颖的技术,而是强调规模和自动化。该行动结合了成熟的工具、已知的漏洞和广泛记录的错误配置,实现了漏洞利用的产业化。被入侵的环境被转化为一个自我传播的犯罪生态系统,支持扫描、横向移动、持久化和盈利。
其总体目标包括构建分布式代理和扫描基础设施、窃取数据、部署勒索软件、开展敲诈勒索活动以及挖掘加密货币。被入侵的资产还会被重新用于数据托管、代理服务和命令控制中继。
模块化有效载荷和云感知工具
成功获得初始访问权限后,攻击者便可从外部服务器投放辅助载荷,这些载荷通常以 shell 或 Python 脚本的形式呈现,旨在扩大攻击范围。核心组件 proxy.sh 会安装代理、点对点和隧道工具,同时部署扫描器,持续探测互联网上新的易受攻击目标。
值得注意的是,proxy.sh 会执行运行时环境指纹识别,以确定其是否在 Kubernetes 集群内部运行。如果检测到此类环境,该脚本会遵循单独的执行路径并部署集群特定的有效载荷,这凸显了该团队针对云原生目标的定制化方法。
部分支持有效载荷包括:
- scanner.py 会从与 DeadCatx3 关联的 GitHub 帐户下载 CIDR 范围,以定位配置错误的 Docker API 和 Ray 控制面板,并可通过 mine.sh 进行可选的加密货币挖矿。
- kube.py 专注于 Kubernetes 凭证收集、基于 API 的 Pod 和命名空间发现、通过可访问的 Pod 进行传播,以及通过挂载在每个节点上的特权 Pod 实现持久化。
- react.py 利用 React 的一个漏洞 (CVE-2025-29927) 实现大规模远程命令执行。
- pcpcat.py 会扫描大范围 IP 地址,查找暴露的 Docker API 和 Ray 控制面板,并部署恶意容器或运行 Base64 编码有效载荷的作业。
命令与控制和后渗透能力
研究人员已将 67.217.57[.]240 上的一个命令与控制节点与此次行动联系起来,并指出其与 Sliver 的使用存在重叠,Sliver 是一个合法的开源 C2 框架,经常被威胁行为者在渗透后阶段滥用。
为增强韧性而构建的混合型货币化模式
PCPcat攻击活动展示了一个完整的攻击生命周期,包括扫描、漏洞利用、持久化、隧道建立、数据窃取和盈利,其设计专门针对云基础设施。TeamPCP的主要威胁不在于技术创新,而在于其运营整合和规模化。大多数漏洞利用程序和恶意软件都利用了已知的漏洞和经过轻微修改的开源工具。
与此同时,该组织将基础设施滥用与数据窃取和勒索相结合。泄露的简历数据库、身份记录和企业数据通过 ShellForce 发布,以推动勒索软件攻击、欺诈活动,并在网络犯罪生态系统中建立声誉。这种双重盈利策略——既利用计算资源又利用窃取的信息——提供了多元化的收入来源,并增强了抵御中断和打击的能力。
