NEMIA UY

Newsletter de Ciberseguridad para Uruguay

TeamPCP y la industrialización del cibercrimen en entornos cloud-native

Campaña tipo gusano para comprometer infraestructura cloud

TeamPCP cloud-native

Investigadores de ciberseguridad han identificado una campaña masiva y de comportamiento tipo gusano (worm-like) orientada a comprometer infraestructuras cloud modernas para convertirlas en una plataforma criminal distribuida. La operación, activa al menos desde fines de 2025, se atribuye al clúster de amenazas TeamPCP (también conocido como DeadCatx3, PCPcat, PersyPCP y ShellForce).

El objetivo no es un ataque puntual, sino la construcción de un ecosistema autosostenido de explotación, capaz de escanear, comprometer, persistir y monetizar recursos en la nube a gran escala.

Superficie de ataque: infraestructura cloud expuesta

La campaña se basa en la explotación de errores de configuración y servicios expuestos, no en técnicas zero-day sofisticadas. Los vectores principales incluyen:

  • APIs Docker expuestas a Internet.
  • APIs de Kubernetes sin protección.
  • Dashboards de Ray accesibles públicamente.
  • Servidores Redis mal configurados.
  • Aplicaciones React/Next.js vulnerables a React2Shell (CVE-2025-55182, CVSS 10.0).

Objetivo estratégico

La operación busca construir una infraestructura distribuida de proxies y nodos de escaneo, además de comprometer servidores para exfiltración de datos, despliegue de ransomware, extorsión y minería de criptomonedas.

Cadena de infección automatizada

TeamPCP ha industrializado el proceso mediante scripts que automatizan cada fase. El componente central proxy.sh instala herramientas de proxy, P2P y túneles, descarga escáneres adicionales y realiza búsqueda continua de nuevos objetivos vulnerables. Si detecta Kubernetes, despliega una cadena de ataque específica para clústeres.

Módulos secundarios

  • scanner.py: descubre APIs Docker y dashboards Ray mal configurados y puede habilitar minería cripto.
  • kube.py: roba credenciales, enumera pods/namespaces y crea persistencia con pods privilegiados.
  • react.py: explota React2Shell para ejecución remota de comandos.
  • pcpcat.py: escaneo masivo y despliegue automático de contenedores maliciosos.

Infraestructura de control

Se identificó infraestructura vinculada al grupo operando el framework Sliver C2. Los entornos más afectados corresponden a AWS y Microsoft Azure, con ataques oportunistas basados en recursos expuestos.

Modelo de monetización híbrido

TeamPCP combina minería de criptomonedas, venta/filtración de datos robados, extorsión y reputación criminal para atraer afiliaciones. Los datos robados se publican bajo la marca ShellForce.

Por qué esta campaña es peligrosa

La amenaza no reside en innovación técnica, sino en automatización a escala, integración operativa de herramientas conocidas, adaptación a arquitecturas cloud-native y persistencia profunda en Kubernetes.

Controles críticos: No exponer APIs Docker/Kubernetes, aplicar autenticación fuerte y RBAC, segmentación de red, escaneo continuo de configuración y monitoreo de pods privilegiados.

Conclusión: TeamPCP demuestra la evolución del cibercrimen hacia plataformas criminales cloud-native, donde la infraestructura de la víctima se convierte en parte de la maquinaria del ataque. La seguridad ya no depende solo de parches, sino de arquitectura segura por diseño.

Fuente: The Hacker News, “TeamPCP Worm Exploits Cloud…”

Volver a noticias internacionales