TeamPCP: Преступная платформа превращает уязвимый облачный стек в самораспространяющуюся ботнет-инфраструктуру

Новая группа, известная под именами TeamPCP, PCPcat, ShellForce и DeadCatx3, в конце 2025 года провел масштабную кампанию по заражению облачных сред. В отличие от традиционных атак, группа фокусируется не на конечных пользователях, а на нарушении контроля над инфраструктурой. Их операция, получившая название PCPcat, системно использовала уязвимости и ошибки конфигурации в облачных сервисах, превращая их в платформу для кражи данных, вымогательства и майнинга криптовалюты.

Описание

Суть угрозы: автоматизация известных уязвимостей

Главная особенность TeamPCP - не в технической новизне, а в промышленном масштабе и интеграции давно известных методов атаки. Группа целенаправленно ищет и автоматизирует эксплуатацию неправильно сконфигурированных или уязвимых облачных компонентов. Их первичными векторами атаки стали:

Открытые API Docker и Kubernetes без аутентификации.
Публично доступные панели управления Ray.
Серверы Redis, сконфигурированные без пароля.
Уязвимость React2Shell (CVE-2025-29927) в приложениях на Next.js.

Анализ артефактов показал, что после компрометации одного сервера скрипты злоумышленников автоматически разворачивают сканеры для поиска новых жертв, создавая самораспространяющуюся (червеобразную) инфраструктуру. При этом TeamPCP действует как полноценная киберпреступная платформа с полным циклом: от сканирования и взлома до монетизации через несколько каналов.

Тактика, техники и процедуры (TTP)

Кампания PCPcat демонстрирует отлаженный жизненный цикл атаки, который исследователи смогли детально восстановить на уровне скриптов.

Первичное заражение: Основной скрипт "proxy.sh" выполняет роль операционного ядра. Он устанавливает на скомпрометированный хост прокси- и туннельные утилиты (FRPS, gost), средства для майнинга криптовалюты (XMRig) и дополнительные сканеры.
Обеспечение устойчивости: Скрипт регистрирует в системе несколько служб (например, "teampcp-react.service"), которые гарантируют, что сканирование и другие вредоносные активности переживут перезагрузку сервера.
Адаптация под среду: "proxy.sh" содержит логику определения окружения. При обнаружении среды Kubernetes он загружает и исполняет специализированный скрипт "kube.py". Этот скрипт проводит разведку в кластере, крадет учетные данные и распространяет вредоносную нагрузку (payload) на все доступные поды (pods), превращая кластер в распределенную ботнет-сеть.
Углубление в кластере: В Kubernetes сценарий "kube.py" также создает привилегированный DaemonSet с монтированием файловой системы хоста. Это обеспечивает группе долгосрочный бэкдор и контроль на уровне всей ноды.
Монетизация: Компрометированные серверы используются для нескольких целей одновременно: майнинг Monero (XMRig), организация прокси-сетей, сканирование интернета, а также хостинг украденных данных и инструментов.

Связь с подпольем и утечки данных

Активность группы не ограничивается автоматизированными атаками на инфраструктуру. TeamPCP тесно связана с каналом ShellForce в Telegram, который используется для публикации украденных данных и репутационного позиционирования в преступной среде. Исследователи зафиксировали утечки более чем 20 ГБ данных, включая высокочувствительную информацию: полные имена, номера удостоверений личности, адреса, резюме и данные о трудоустройстве. Жертвами стали организации в сфере электронной коммерции, финансов и рекрутинга из разных стран.

Анализ учетных записей GitHub, таких как DeadCatx3, которые использовались для хостинга сканеров и списков целевых сетей, а также активность в Telegram-каналах, указывают на то, что группа оформилась и начала активные операции в конце 2025 года. При этом участники группы заявляют о «ребрендинге», что может означать их более раннюю деятельность под другими псевдонимами.

Кто в зоне риска и как защититься?

Данные показывают, что 97% скомпрометированных серверов находились в облаках Azure (61%) и AWS (36%). Следовательно, в первую очередь под удар попадают организации, использующие публичные облачные сервисы с недостаточно защищенными управляющими плоскостями.

Защита от подобных угроз требует смещения фокуса с периметра на внутреннюю безопасность облачной инфраструктуры.

Предотвращение: Самое критичное - исключить возможность доступа к API оркестрации из интернета без строгой аутентификации. Необходимо регулярно аудировать конфигурации Docker, Kubernetes, Redis и Ray, применяя принцип наименьших привилегий. Сканирование инфраструктуры как кода (IaC) и образов контейнеров на наличие секретов и уязвимостей должно быть частью CI/CD-процесса.
Обнаружение: Мониторинг должен быть адаптирован под облачные среды. Ключевые индикаторы компрометации - создание неизвестных контейнеров или заданий (jobs), необычная сетевая активность (исходящие подключения к GitHub, трафик, характерный для Sliver C2, FRPS, gost), аномально высокое потребление CPU, характерное для майнеров, и сканирующая активность с рабочих нагрузок.
Реагирование и восстановление: При обнаружении заражения необходимо исходить из предположения о полной компрометации кластера или облачной среды. Простое удаление вредоносного контейнера недостаточно. Требуется изоляция зараженных сегментов, отзыв и ротация всех учетных данных и сертификатов, полная пересборка затронутых кластеров из проверенных образов.

TeamPCP наглядно демонстрирует эволюцию киберпреступности в эпоху облачных технологий. Их успех строится не на сложных эксплойтах, а на системной эксплуатации распространенных ошибок администрирования. Следовательно, эффективная защита возможна только через последовательное внедрение практик безопасной конфигурации облачной инфраструктуры и непрерывный мониторинг активности внутри нее.