Ερευνητές κυβερνοασφάλειας κρούουν τον κώδωνα του κινδύνου για μια «μαζική καμπάνια» που στοχεύει συστηματικά cloud-native περιβάλλοντα, με στόχο να στηθεί κακόβουλη υποδομή η οποία στη συνέχεια αξιοποιείται για περαιτέρω επιθέσεις.
Η δραστηριότητα, που παρατηρήθηκε γύρω στις 25 Δεκεμβρίου 2025 και περιγράφεται ως «worm-driven» (καθοδηγούμενη από “worm”), εκμεταλλεύτηκε εκτεθειμένα Docker APIs, Kubernetes clusters, Ray dashboards και Redis servers, καθώς και το πρόσφατα γνωστοποιημένο κενό ασφαλείας React2Shell (CVE-2025-55182, CVSS: 10,0). Η καμπάνια αποδίδεται σε ένα threat cluster γνωστό ως TeamPCP (γνωστό επίσης ως DeadCatx3, PCPcat, PersyPCP και ShellForce).
Η TeamPCP φέρεται να δρα τουλάχιστον από τον Νοέμβριο 2025, με την πρώτη καταγεγραμμένη δραστηριότητα στο Telegram να χρονολογείται στις 30 Ιουλίου 2025. Το Telegram κανάλι της ομάδας έχει σήμερα πάνω από 700 μέλη και, σύμφωνα με τις αναφορές, εκεί δημοσιεύεται κλεμμένο υλικό από θύματα σε χώρες όπως ο Καναδάς, η Σερβία, η Νότια Κορέα, τα Ηνωμένα Αραβικά Εμιράτα και οι ΗΠΑ. Λεπτομέρειες για τον δράστη είχαν τεκμηριωθεί για πρώτη φορά από την Beelzebub τον Δεκέμβριο του 2025, με την ονομασία Operation PCPcat.
«Στόχος της επιχείρησης ήταν να χτίσει σε κλίμακα μια κατανεμημένη υποδομή proxy και σάρωσης και στη συνέχεια να παραβιάζει servers για να αποσπά δεδομένα, να εγκαθιστά ransomware, να προχωρά σε εκβιασμούς και να κάνει εξόρυξη κρυπτονομισμάτων», ανέφερε ο ερευνητής της Flare, Assaf Morag, σε έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα.
Σύμφωνα με την Flare, η TeamPCP λειτουργεί ως μια «cloud-native» πλατφόρμα κυβερνοεγκλήματος, αξιοποιώντας λανθασμένες ρυθμίσεις σε Docker APIs, Kubernetes APIs, Ray dashboards και Redis servers, αλλά και ευάλωτες εφαρμογές React/Next.js, ως βασικές “οδούς” μόλυνσης για την παραβίαση σύγχρονων cloud υποδομών, με σκοπό την κλοπή δεδομένων και τον εκβιασμό.
Επιπλέον, η παραβιασμένη υποδομή αξιοποιείται και για άλλους σκοπούς: από εξόρυξη κρυπτονομισμάτων και φιλοξενία δεδομένων έως χρήση ως proxy και ως κόμβοι για command-and-control (C2) relays.
Αντί να εφαρμόζει «καινούργιες» τεχνικές, η TeamPCP βασίζεται σε δοκιμασμένες μεθόδους: υπάρχοντα εργαλεία, γνωστές ευπάθειες και συνηθισμένες λανθασμένες ρυθμίσεις. Έτσι χτίζει μια πλατφόρμα εκμετάλλευσης που αυτοματοποιεί και «βιομηχανοποιεί» τη διαδικασία, μετατρέποντας την εκτεθειμένη υποδομή σε ένα «αυτο-αναπαραγόμενο εγκληματικό οικοσύστημα», όπως σημειώνει η Flare.
Η επιτυχής εκμετάλλευση ανοίγει τον δρόμο για την εγκατάσταση payloads επόμενου σταδίου από εξωτερικούς servers, συμπεριλαμβανομένων scripts σε shell και Python που αναζητούν νέους στόχους για περαιτέρω επέκταση. Ένα από τα βασικά components είναι το “proxy.sh”, το οποίο εγκαθιστά εργαλεία proxy, peer-to-peer (P2P) και tunneling και «ρίχνει» διάφορους scanners που αναζητούν συνεχώς στο διαδίκτυο ευάλωτους ή κακορυθμισμένους servers.
«Αξιοσημείωτο είναι ότι το proxy.sh κάνει fingerprinting του περιβάλλοντος τη στιγμή της εκτέλεσης», ανέφερε ο Morag. «Στα πρώτα στάδια ελέγχει αν τρέχει μέσα σε Kubernetes cluster».
«Αν εντοπιστεί Kubernetes περιβάλλον, το script ακολουθεί διαφορετικό μονοπάτι εκτέλεσης και “ρίχνει” ένα δευτερεύον payload ειδικά για clusters, κάτι που δείχνει ότι η TeamPCP διατηρεί διακριτά εργαλεία και τεχνικές για cloud-native στόχους, αντί να βασίζεται μόνο σε γενικής χρήσης Linux malware».
Σύμφωνα με τη σύντομη περιγραφή των υπόλοιπων payloads:
- scanner.py: έχει σχεδιαστεί για να εντοπίζει κακορυθμισμένα Docker APIs και Ray dashboards, κατεβάζοντας λίστες Classless Inter-Domain Routing (CIDR) από GitHub λογαριασμό με όνομα “DeadCatx3”, ενώ προσφέρει και επιλογές για εκτέλεση miner κρυπτονομισμάτων (“mine.sh”).
- kube.py: περιλαμβάνει λειτουργίες ειδικά για Kubernetes, για συλλογή credentials του cluster και ανακάλυψη πόρων μέσω API (όπως pods και namespaces). Στη συνέχεια “ρίχνει” το proxy.sh σε προσβάσιμα pods για ευρύτερη διάδοση και εγκαθιστά επίμονο backdoor αναπτύσσοντας privileged pod σε κάθε node, το οποίο κάνει mount το host.
- react.py: έχει σχεδιαστεί για εκμετάλλευση του κενού στο React (CVE-2025-29927) ώστε να πετυχαίνει remote command execution σε κλίμακα.
- pcpcat.py: στοχεύει στον εντοπισμό εκτεθειμένων Docker APIs και Ray dashboards σε μεγάλα ranges IP διευθύνσεων και εγκαθιστά αυτόματα κακόβουλο container ή job που εκτελεί payload κωδικοποιημένο σε Base64.
Η Flare ανέφερε επίσης ότι ο C2 server κόμβος στο 67.217.57[.]240 έχει συνδεθεί με τη λειτουργία του Sliver, ενός open-source C2 framework, το οποίο είναι γνωστό ότι χρησιμοποιείται από απειλητικούς παράγοντες σε στάδια μετά την αρχική παραβίαση (post-exploitation).
Δεδομένα της εταιρείας δείχνουν ότι οι δράστες εστιάζουν κυρίως σε περιβάλλοντα Amazon Web Services (AWS) και Microsoft Azure. Οι επιθέσεις εκτιμάται ότι είναι ευκαιριακές, με στόχο κυρίως υποδομές που εξυπηρετούν τους σκοπούς τους και όχι συγκεκριμένους κλάδους. Ως αποτέλεσμα, οργανισμοί που λειτουργούν τέτοια υποδομή καταλήγουν «παράπλευρα θύματα» της διαδικασίας.
«Η καμπάνια PCPcat δείχνει έναν πλήρη κύκλο ζωής: σάρωση, εκμετάλλευση, επιμονή (persistence), tunneling, κλοπή δεδομένων και monetization, χτισμένο ειδικά για σύγχρονη cloud υποδομή», ανέφερε ο Morag. «Αυτό που κάνει την TeamPCP επικίνδυνη δεν είναι η τεχνική πρωτοτυπία, αλλά η επιχειρησιακή ενοποίηση και η κλίμακα. Πιο βαθιά ανάλυση δείχνει ότι τα περισσότερα exploits και malware βασίζονται σε γνωστές ευπάθειες και ελαφρώς τροποποιημένα open-source εργαλεία».
«Ταυτόχρονα, η TeamPCP συνδυάζει εκμετάλλευση υποδομών με κλοπή δεδομένων και εκβιασμό. Βάσεις δεδομένων βιογραφικών (CV) που διέρρευσαν, αρχεία ταυτότητας και εταιρικά δεδομένα δημοσιεύονται μέσω του ShellForce για να τροφοδοτήσουν ransomware, απάτες και τη “φήμη” στο οικοσύστημα του κυβερνοεγκλήματος. Αυτό το υβριδικό μοντέλο επιτρέπει στην ομάδα να κερδίζει τόσο από υπολογιστικούς πόρους όσο και από πληροφορία, δίνοντάς της πολλαπλές ροές εσόδων και μεγαλύτερη ανθεκτικότητα απέναντι σε takedowns».
