高度な自動化を特徴とする大規模なサイバースパイ活動のキャンペーンが、多くの最新Webアプリケーションを支えるクラウドインフラを体系的に攻撃しています。48時間未満で、数万台のサーバーが侵害され、広く利用されているフレームワークに存在する既知の脆弱性が狙い撃ちで悪用されました。
この作戦を記録したのは、Beelzebub Research Teamが公開したレポートで、同チームはこのキャンペーンをPCPcatと命名しました。この活動はDockerハニーポットの観測によって明らかになり、当初から異例の実行速度を示していました。
攻撃者はNext.jsおよびReactに存在する脆弱性CVE-2025-29927とCVE-2025-66478を悪用し、2日足らずで59,128台のサーバーを侵害することに成功しました。
悪性ファイルに「PCP」という署名を埋め込むことで識別できるこの犯行グループは、単にWebサイトを改ざんするだけにとどまりません。主目的は、機密情報の体系的な収集であると見られます。このマルウェアは、クラウドの認証情報、SSH鍵、環境変数を含む設定ファイル、特に.envファイルを探索するよう設計されており、これらは侵害されたネットワーク内でのさらなるラテラルムーブメントを可能にします。
研究者によれば、この作戦には大規模なインテリジェンス活動に典型的な特徴があり、データの持ち出しは工業的な手法で行われています。攻撃チェーンは、JSONペイロードの操作を含む高度な技術に基づいており、攻撃者が脆弱なシステム上でリモートコード実行を得られるようにしています。
アクセスを得ると、マルウェアはGOST(SOCKS5プロキシ)とFRP(Fast Reverse Proxy)を利用するバックドアを導入して永続化を確立します。これにより、侵害されたサーバーはボットネットに組み込まれ、遠隔操作可能なノードへと変えられます。
アナリストが最も注目したのは、この作戦の有効性でした。無作為な試行に基づく多くの自動化キャンペーンとは異なり、PCPcatは非常に高い精度を示しています。C2サーバーの直接分析により、悪用の成功率が64.6%であることが確認されました。これは異常に高い値で、選別された標的リストの使用、あるいは未修正の脆弱性が非常に広範に存在していることを示唆します。
調査の過程で、攻撃者インフラにおける深刻な弱点も明らかになりました。シンガポールに所在するC2サーバーには認証メカニズムが一切ありませんでした。この欠陥により、研究者はAPIのエンドポイントへ自由にアクセスでき、キャンペーンの実際の規模を再構築することができました。
収集されたデータから、「random_ips」と呼ばれるモードが、明確な選定基準なしに91,000以上の潜在的標的を走査していたことが判明しました。作戦のペースは特に速く、1日あたり約32の標的ロットが処理され、侵害システム数は継続的に増加しています。
この速度が維持されれば、キャンペーンは1か月で120万台以上のサーバーに到達する可能性があり、インターネットに公開されたクラウドインフラの安全性にとって潜在的に深刻な影響をもたらします。
これらの要素を踏まえ、公開アクセス可能なNext.jsまたはReactアプリケーションを利用している組織には、利用可能なセキュリティパッチを緊急に適用し、特定されたC2サーバーのIPアドレス(67.217.57[.]240)をブロックし、環境ファイルを通じて露出した可能性のあるすべての認証情報をローテーションすることが推奨されます。