TeamPCP蠕蟲
網路安全研究人員發現了一場大規模的蠕蟲病毒攻擊活動,該活動系統性地針對雲端原生環境,建立惡意基礎設施以供後續利用。與此行動相關的活動在2025年12月25日左右被發現,揭示了攻擊者有組織地利用現代雲端平台中暴露的服務和漏洞進行攻擊。
目錄
TeamPCP:一個迅速崛起的新興威脅集群
這場網路攻擊活動被歸咎於一個名為 TeamPCP 的威脅組織,該組織也使用 DeadCatx3、PCPcat、PersyPCP 和 ShellForce 等別名。證據表明,該組織至少從 2025 年 11 月就開始活動,相關的 Telegram 活動可以追溯到 2025 年 7 月 30 日。 TeamPCP 的 Telegram 頻道目前擁有超過 700 名成員,用於發布與加拿大、塞爾維亞、韓國、阿聯酋和美國受害者相關的被盜資料。
研究人員於 2025 年 12 月首次記錄了該行動,並將其命名為「PCPcat 行動」。
利用雲端原生技術的弱點進行機會主義濫用
TeamPCP 是一個雲端原生網路犯罪平台,利用暴露的管理介面、常見的錯誤配置和關鍵漏洞(包括最近揭露的 React2Shell 漏洞 (CVE-2025-55182, CVSS 10.0))進行攻擊。這次攻擊活動中觀察到的主要感染途徑包括:
暴露的 Docker API、Kubernetes API、Ray 控制面板、Redis 伺服器以及存在漏洞的 React/Next.js 應用程式
這些弱點並非針對特定產業,而是被利用來伺機奪取基礎設施,最常發生在亞馬遜網路服務和微軟 Azure 環境中,使受影響的組織成為附帶受害者。
大規模工業化開發
TeamPCP 並不依賴新穎的技術,而是強調規模和自動化。該行動結合了成熟的工具、已知的漏洞和廣泛記錄的錯誤配置,實現了漏洞利用的產業化。被入侵的環境轉化為一個自我傳播的犯罪生態系統,支持掃描、橫向移動、持久化和獲利。
其總體目標包括建立分散式代理和掃描基礎設施、竊取資料、部署勒索軟體、進行敲詐勒索活動以及挖掘加密貨幣。被入侵的資產也會被重新用於資料託管、代理服務和命令控制中繼。
模組化有效載荷和雲感知工具
成功取得初始存取權限後,攻擊者便可從外部伺服器投放輔助負載,這些載重通常以 shell 或 Python 腳本的形式呈現,旨在擴大攻擊範圍。核心元件 proxy.sh 會安裝代理、點對點和隧道工具,同時部署掃描器,持續偵測網路上新的易受攻擊目標。
值得注意的是,proxy.sh 會執行運行時環境指紋識別,以確定是否在 Kubernetes 叢集內部運作。如果偵測到此類環境,該腳本會遵循單獨的執行路徑並部署叢集特定的有效載荷,這凸顯了該團隊針對雲端原生目標的客製化方法。
部分支援有效載荷包括:
- scanner.py 會從與 DeadCatx3 關聯的 GitHub 帳戶下載 CIDR 範圍,以定位配置錯誤的 Docker API 和 Ray 控制面板,並可透過 mine.sh 進行選購的加密貨幣挖礦。
- kube.py 專注於 Kubernetes 憑證收集、基於 API 的 Pod 和命名空間發現、透過可存取的 Pod 進行傳播,以及透過掛載在每個節點上的特權 Pod 來實現持久化。
- react.py 利用 React 的一個漏洞 (CVE-2025-29927) 實現大規模遠端命令執行。
- pcpcat.py 會掃描大範圍 IP 位址,尋找暴露的 Docker API 和 Ray 控制面板,並部署惡意容器或執行 Base64 編碼有效載荷的作業。
指令與控制與後滲透能力
研究人員已將 67.217.57[.]240 上的一個命令與控制節點與此次行動聯繫起來,並指出其與 Sliver 的使用存在重疊,Sliver 是一個合法的開源 C2 框架,經常被威脅行為者在滲透後階段濫用。
為增強韌性而建構的混合型貨幣化模式
PCPcat攻擊活動展示了一個完整的攻擊生命週期,包括掃描、漏洞利用、持久化、隧道建立、資料竊取和獲利,其設計專門針對雲端基礎設施。 TeamPCP的主要威脅不在於技術創新,而在於其營運整合和規模化。大多數漏洞利用程式和惡意軟體都利用了已知的漏洞和經過輕微修改的開源工具。
同時,該組織將基礎設施濫用與資料竊取和勒索相結合。洩漏的履歷資料庫、身分記錄和企業資料透過 ShellForce 發布,以推動勒索軟體攻擊、詐騙活動,並在網路犯罪生態系統中建立聲譽。這種雙重獲利策略——既利用運算資源又利用竊取的資訊——提供了多元化的收入來源,並增強了抵禦中斷和打擊的能力。
