TeamPCPとして知られる脅威グループは、PCPcat、ShellForce、DeadCatx3としても追跡されており、設定ミスのあるインフラを自己増殖型サイバー犯罪プラットフォームに変える大規模なクラウド悪用キャンペーンを開始しました。
2025年後半から活動しているこのグループは、従来のエンドポイントマルウェアではなく、露出したクラウド管理プレーンに焦点を当てています。
セキュリティ研究者は、露出したDocker API、Kubernetesクラスター、Rayダッシュボード、Redisサーバー、React2Shell(CVE-2025-29927)に脆弱なアプリケーションを標的とするキャンペーンを観測しました。
TeamPCPは、ゼロデイ脆弱性に依存する代わりに、脆弱な設定と公開されている管理インターフェースを悪用して初期アクセスを取得します。
このキャンペーンは2025年12月25日頃にピークに達し、数百台の侵害されたサーバーが攻撃者が管理するコンテナを実行し始めました。
調査員は、作戦の1つのフェーズ中に少なくとも185件の確認されたDocker侵害を特定しましたが、インフラはより広範な影響を示唆しています。
このキャンペーンの中核にあるのは、proxy.shとして知られるスクリプトで、運用の基盤として機能します。
脆弱なサーバーに展開されると、FRPSやgostなどのトンネリングツールをインストールし、スキャナーを展開し、システムサービス経由で永続性を確立し、追加の露出したシステムの検索を開始します。
スクリプトがKubernetes内で実行されていることを検出すると、kube.pyと呼ばれる別のペイロードを展開します。このモジュールは、クラスターリソースを列挙し、認証情報を収集し、アクセス可能なすべてのポッド内でコマンドを実行することで横方向に拡散します。
また、ホストファイルシステムをマウントする特権DaemonSetを展開し、クラスター全体で長期的な永続性を作成します。別のコンポーネントであるreact.pyは、Next.jsアプリケーションのReact2Shell脆弱性を悪用します。
リモートコマンド実行を取得した後、環境変数、クラウド認証情報、SSHキー、Gitトークン、.envファイルを抽出します。データは攻撃者が管理するサーバーに流出し、後に公開されることもあります。
このグループは、pcpcat.pyと呼ばれる大量インターネットスキャナーも使用しています。公開プロバイダーリストから大規模なCIDR範囲を取得し、露出したDockerおよびRay APIをスキャンします。
見つかると、proxy.shをダウンロードして実行する悪意のあるコンテナを自動的に展開します。これにより、ワームのようなフィードバックループが作成されます:感染したすべてのシステムが新しいスキャナーと拡散ノードになります。
TeamPCPは、二重base64エンコーディングと圧縮によって隠されることが多いXMRig暗号通貨マイナーも展開します。マイニング収益は控えめに見えますが、インフラが追加攻撃に使用されている間、受動的収入を提供します。
TeamPCPは単一の収益源に依存していません。侵害されたサーバーは次のように再利用されます:
あるケースでは、採用プラットフォームからの230万件以上の求職者記録がJSON形式で漏洩しました。データには、氏名、生年月日、雇用履歴、連絡先の詳細が含まれていました。
侵害されたインフラのほとんどは、パブリッククラウドプロバイダーでホストされています。Azureは観測された被害者の約61%を占め、AWSは36%を占めており、クラウドファーストの標的戦略を示しています。このグループは個人デバイスを標的にしているのではなく、インターネットに露出したクラウドワークロードを標的にしています。
TeamPCPの強みは、革新ではなく自動化と規模にあります。ツールは主に修正されたオープンソースプロジェクトです。
翻訳元: https://cyberpress.org/teampcp-automates-cloud-exploits/