Los investigadores de ciberseguridad advirtieron sobre una «campaña masiva» que apunta sistemáticamente a entornos nativos de la nube y configura una infraestructura maliciosa para su posterior explotación.
La actividad, observada alrededor del 25 de diciembre de 2025 y descrita como «impulsada por gusanos», aprovechó la vulnerabilidad React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) recientemente revelada, así como las API de Docker expuestas, los clústeres de Kubernetes, los paneles de Ray y los servidores Redis. Se cree que esta campaña se origina en el grupo de amenazas conocido como TeamPCP (también conocido como DeadCatx3, PCPcat, PersyPCP y ShellForce).
Se sabe que TeamPCP ha estado activo desde al menos noviembre de 2025, y su primera actividad en Telegram se remonta al 30 de julio de 2025. El canal TeamPCP Telegram tiene actualmente más de 700 miembros y el grupo ha publicado datos robados de varias víctimas en Canadá, Serbia, Corea del Sur, Emiratos Árabes Unidos y Estados Unidos. Beelzebub documentó por primera vez los detalles del actor de amenazas en diciembre de 2025 con el nombre de Operación PCPcat.
«El objetivo de esta operación era construir una infraestructura de escaneo y proxy distribuida a gran escala, comprometer servidores y robar datos, implementar ransomware, realizar extorsión y extraer criptomonedas», dijo el investigador de seguridad de Flair, Asaf Morag, en un informe publicado la semana pasada.
Se dice que TeamPCP funciona como una plataforma de cibercrimen nativa de la nube, aprovechando las API de Docker mal configuradas, las API de Kubernetes, los paneles de Ray, los servidores Redis y las aplicaciones vulnerables React/Next.js como principales vectores de infección para infiltrarse en las infraestructuras modernas de la nube y facilitar el robo de datos y la extorsión.
Además, la infraestructura comprometida puede explotarse para una amplia gama de otros fines, desde minería de criptomonedas y alojamiento de datos hasta servidores proxy y retransmisiones de comando y control (C2).
En lugar de adoptar nuevas tecnologías, TeamPCP se basa en técnicas de ataque comprobadas, incluidas herramientas existentes, vulnerabilidades conocidas y configuraciones erróneas generalizadas, para construir una plataforma de explotación que automatice e industrialice todo el proceso. Esto convierte la infraestructura expuesta en un «ecosistema criminal que se propaga a sí mismo», dijo Flair.
La explotación exitosa allana el camino para la implementación de carga útil en la siguiente etapa desde servidores externos, como scripts basados en shell o Python que buscan nuevos objetivos para una mayor expansión. Uno de los componentes principales es ‘proxy.sh’, que instala utilidades de proxy, peer-to-peer (P2P) y de tunelización, y proporciona varios escáneres para buscar continuamente en Internet servidores vulnerables o mal configurados.
«En particular, proxy.sh realiza huellas digitales del entorno en tiempo de ejecución», dijo Morag. «Al principio del tiempo de ejecución, comprueba si se está ejecutando en un clúster de Kubernetes».
«Cuando se detecta un entorno de Kubernetes, el script se bifurca a una ruta de ejecución separada y suelta una carga útil secundaria específica del clúster. Esto muestra que TeamPCP mantiene sus propias herramientas y técnicas para objetivos nativos de la nube, en lugar de depender únicamente del malware genérico de Linux».
Una breve descripción de las otras cargas útiles es la siguiente:
Scanner.py está diseñado para detectar API de Docker y paneles de Ray mal configurados descargando la lista de enrutamiento entre dominios sin clases (CIDR) de una cuenta de GitHub llamada «DeadCatx3» y también tiene una opción para ejecutar un minero de criptomonedas («mine.sh»). kube.py contiene una funcionalidad específica de Kubernetes para recopilar credenciales de clúster y realizar un descubrimiento de recursos basado en API, como pods y espacios de nombres. Luego colocamos ‘proxy.sh’ en un pod accesible para lograr una propagación más amplia y configuramos una puerta trasera persistente implementando un pod privilegiado en cada nodo que monta el host. Está diseñado para explotar una falla en React (CVE-2025-29927) para lograr la ejecución remota de comandos a escala. pcpcat.py está diseñado para descubrir API de Docker y paneles de Ray expuestos en grandes rangos de direcciones IP e implementar automáticamente contenedores o trabajos maliciosos que ejecutan cargas útiles codificadas en Base64.
Flare dijo que el nodo del servidor C2 en 67.217.57(.)240 también está vinculado a la operación Sliver, un marco C2 de código abierto conocido por ser utilizado por atacantes con fines posteriores a la explotación.
Los datos de la firma de ciberseguridad muestran que los atacantes se dirigen principalmente a los entornos de Amazon Web Services (AWS) y Microsoft Azure. Se considera que este ataque es de naturaleza oportunista y no está dirigido a ninguna industria específica, sino principalmente a la infraestructura que respalda sus objetivos. Como resultado, las organizaciones que operan dicha infraestructura se convierten en «víctimas colaterales» en el proceso.
«La campaña PCPcat demuestra un ciclo de vida completo de escaneo, explotación, persistencia, túneles, robo de datos y monetización creado específicamente para la infraestructura de nube moderna», dijo Morag. «Lo que hace que TeamPCP sea peligroso no es su novedad tecnológica, sino su integración operativa y escala. Un análisis más detallado muestra que la mayoría de sus exploits y malware se basan en vulnerabilidades bien conocidas y herramientas de código abierto ligeramente modificadas».
«Al mismo tiempo, TeamPCP combina el abuso de la infraestructura con el robo de datos y la extorsión. Las bases de datos de currículums, los registros de identidad y los datos corporativos filtrados quedan expuestos a través de ShellForce, lo que facilita la creación de reputación en materia de ransomware, fraude y delitos cibernéticos. Este modelo híbrido permite al grupo monetizar tanto la informática como la información, lo que le proporciona múltiples fuentes de ingresos y resistencia contra las eliminaciones».
Source link
