TeamPCP恶意蠕虫利用云基础设施构建犯罪网络平台

网络安全研究人员发现了一场针对云原生环境的"大规模攻击活动"，该活动系统性地利用云基础设施建立恶意网络，用于后续的网络犯罪活动。

这项被描述为"蠕虫驱动"的攻击活动于2025年12月25日左右被观察到，攻击者利用了暴露的Docker API、Kubernetes集群、Ray仪表板和Redis服务器，以及最近披露的React2Shell漏洞（CVE-2025-55182，CVSS评分：10.0）。该攻击活动被归因于名为TeamPCP的威胁组织，该组织也被称为DeadCatx3、PCPcat、PersyPCP和ShellForce。

据了解，TeamPCP至少从2025年11月开始活跃，其首次Telegram活动可追溯到2025年7月30日。TeamPCP的Telegram频道目前拥有超过700名成员，该组织在频道中公布从加拿大、塞尔维亚、韩国、阿联酋和美国等不同国家受害者处窃取的数据。该威胁行为者的详细信息最初由Beelzebub在2025年12月以"PCPcat行动"的名称进行了记录。

Flare安全研究员Assaf Morag在上周发布的报告中表示："该行动的目标是大规模构建分布式代理和扫描基础设施，然后入侵服务器以窃取数据、部署勒索软件、进行勒索活动并挖掘加密货币。"

据称，TeamPCP作为一个云原生网络犯罪平台运作，利用配置错误的Docker API、Kubernetes API、Ray仪表板、Redis服务器和存在漏洞的React/Next.js应用程序作为主要感染途径，入侵现代云基础设施以促进数据盗窃和勒索活动。

此外，被入侵的基础设施还被滥用于各种其他目的，包括加密货币挖矿、数据托管、代理服务以及命令控制中继等。

TeamPCP并没有采用任何新颖的攻击技术，而是依赖于久经考验的攻击手段，如现有工具、已知漏洞和普遍存在的错误配置，来构建一个自动化和工业化整个攻击过程的利用平台。Flare指出，这反过来将暴露的基础设施转变为"自我传播的犯罪生态系统"。

成功的利用为从外部服务器部署下一阶段载荷铺平了道路，包括基于shell和Python的脚本，这些脚本寻找新的目标以进行进一步扩展。核心组件之一是"proxy.sh"，它安装代理、点对点和隧道工具，并提供各种扫描器以持续搜索互联网上的易受攻击和配置错误的服务器。

Morag表示："值得注意的是，proxy.sh在执行时进行环境指纹识别。在运行早期，它会检查是否在Kubernetes集群内运行。"

"如果检测到Kubernetes环境，脚本会分支到单独的执行路径并投放特定于集群的二级载荷，这表明TeamPCP为云原生目标维护了不同的工具和攻击技术，而不是仅仅依赖通用的Linux恶意软件。"

其他载荷的简要描述如下：

scanner.py，旨在通过从名为"DeadCatx3"的GitHub账户下载无类别域间路由列表来查找配置错误的Docker API和Ray仪表板，同时还具有运行加密货币挖矿程序（"mine.sh"）的选项。

kube.py，包含Kubernetes特定功能，用于进行集群凭据收集和基于API的资源发现（如Pod和命名空间），然后将"proxy.sh"投放到可访问的Pod中以进行更广泛的传播，并通过在每个节点上部署挂载主机的特权Pod来建立持久后门。

react.py，旨在利用React漏洞（CVE-2025-29927）大规模实现远程命令执行。

pcpcat.py，旨在发现大IP地址范围内暴露的Docker API和Ray仪表板，并自动部署执行Base64编码载荷的恶意容器或作业。

Flare表示，位于67.217.57[.]240的命令控制服务器节点也与Sliver的运营有关，Sliver是一个开源的命令控制框架，已知被威胁行为者滥用于后利用目的。

来自该网络安全公司的数据显示，威胁行为者主要针对亚马逊网络服务和微软Azure环境。这些攻击被评估为机会主义性质，主要针对支持其目标的基础设施，而不是特定行业。结果是运行此类基础设施的组织在这个过程中成为"附带受害者"。

Morag表示："PCPcat攻击活动展示了专为现代云基础设施构建的完整生命周期，包括扫描、利用、持久化、隧道传输、数据盗窃和变现。使TeamPCP危险的不是技术新颖性，而是其运营整合和规模。深入分析显示，他们的大部分漏洞利用和恶意软件都基于众所周知的漏洞和轻微修改的开源工具。"

"同时，TeamPCP将基础设施利用与数据盗窃和勒索相结合。泄露的简历数据库、身份记录和企业数据通过ShellForce发布，为勒索软件、欺诈和网络犯罪声誉建设提供燃料。这种混合模式允许该组织将计算资源和信息都进行变现，为其提供多种收入来源和抵御打击的弹性。"

Q&A

Q1：TeamPCP是什么组织？它主要做什么？

A：TeamPCP是一个云原生网络犯罪平台，也被称为DeadCatx3、PCPcat、PersyPCP和ShellForce。该组织利用配置错误的云基础设施进行数据盗窃、勒索活动、加密货币挖矿等犯罪活动，并通过Telegram频道发布窃取的数据。

Q2：TeamPCP主要攻击哪些云服务？

A：TeamPCP主要针对亚马逊网络服务和微软Azure环境，利用暴露的Docker API、Kubernetes集群、Ray仪表板、Redis服务器以及React/Next.js应用程序漏洞进行攻击，这些攻击具有机会主义性质。

Q3：TeamPCP使用什么攻击手段？

A：TeamPCP并不使用新颖技术，而是依赖已知漏洞、配置错误和开源工具。其核心载荷包括proxy.sh（安装代理工具）、scanner.py（扫描Docker API）、kube.py（Kubernetes攻击）和react.py（利用React漏洞）等。