米兰

集会安全商讨东说念主员发现了一场针对云原生环境的"大限制抨击行动"，该行动系统性地行使云基础设施建立坏心集会，用于后续的集会作恶行动。

这项被描摹为"蠕虫驱动"的抨击行动于2025年12月25日傍边被不雅察到，抨击者行使了泄漏的Docker API、Kubernetes集群、Ray姿首板和Redis工作器，以及最近泄漏的React2Shell缺欠（CVE-2025-55182，CVSS评分：10.0）。该抨击行动被归因于名为TeamPCP的恫吓组织，该组织也被称为DeadCatx3、PCPcat、PersyPCP和ShellForce。

据了解，TeamPCP至少从2025年11月开动活跃，其初度Telegram行动可追意象2025年7月30日。TeamPCP的Telegram频说念当今领有逾越700名成员，该组织在频说念中公布从加拿大、塞尔维亚、韩国、阿联酋和好意思国等不同国度受害者处窃取的数据。该恫吓行动者的沉稳信息起先由Beelzebub在2025年12月以"PCPcat行动"的称号进行了记载。

Flare安全商讨员Assaf Morag在上周发布的阐发中示意："该行动的打算是大限制构建散播式代理和扫描基础设施，然后入侵工作器以窃取数据、部署欺诈软件、进行欺诈行动并挖掘加密货币。"

据称，TeamPCP手脚一个云原生集会作恶平台运作，行使成立演叨的Docker API、Kubernetes API、Ray姿首板、Redis工作器和存在缺欠的React/Next.js应用步调手脚主要感染路线，入侵当代云基础设施以促进数据盗窃和欺诈行动。

此外，被入侵的基础设施还被糜掷于多样其他宗旨，包括加密货币挖矿、数据托管、代理工作以及呐喊狂放中继等。

TeamPCP并莫得遴荐任何新颖的抨击时间，而是依赖于久经教练的抨击技巧，如现存用具、已知缺欠和大宗存在的演叨成立，来构建一个自动化和工业化总共这个词抨击历程的行使平台。Flare指出，这反过来将泄漏的基础设施转变为"自我传播的作恶生态系统"。

收效的行使为从外部工作器部署下一阶段载荷铺平了说念路，包括基于shell和Python的剧本，这些剧本寻找新的打算以进行进一步推广。中枢组件之一是"proxy.sh"，它装配代理、点对点和正派用具，并提供多样扫描器以抓续搜索互联网上的易受抨击和成立演叨的工作器。

Morag示意："值得提防的是，proxy.sh在扩充时进行环境指纹识别。在运行早期，它会查验是否在Kubernetes集群内运行。"

"要是检测到Kubernetes环境，剧本会分支到单独的扩充旅途并投放特定于集群的二级载荷，这标明TeamPCP为云原生打算爱戴了不同的用具和抨击时间，MILAN SPORTS而不是只是依赖通用的Linux坏心软件。"

其他载荷的简要描摹如下：

scanner.py，旨在通过从名为"DeadCatx3"的GitHub账户下载无类别域间路由列表来查找成立演叨的Docker API和Ray姿首板，同期还具有运行加密货币挖矿步调（"mine.sh"）的选项。

kube.py，包含Kubernetes特定功能，用于进行集群证据采集和基于API的资源发现（如Pod和定名空间），然后将"proxy.sh"投放到可看望的Pod中以进行更平凡的传播，并通过在每个节点上部署挂载主机的特权Pod来建立抓久后门。

react.py，旨在行使React缺欠（CVE-2025-29927）大限制杀青而已呐喊扩充。

pcpcat.py，旨在发现大IP地址领域内泄漏的Docker API和Ray姿首板，并自动部署扩充Base64编码载荷的坏心容器或功课。

Flare示意，位于67.217.57[.]240的呐喊狂放工作器节点也与Sliver的运营关系，Sliver是一个开源的呐喊狂放框架，已知被恫吓行动者糜掷于后行使宗旨。

来自该集会安全公司的数据夸耀，恫吓行动者主要针对亚马逊集会工作和微软Azure环境。这些抨击被评估为契机主义性质，主要针对提拔其打算的基础设施，而不是特定行业。效劳是运行此类基础设施的组织在这个历程中成为"附带受害者"。

Morag示意："PCPcat抨击行动展示了专为当代云基础设施构建的竣工人命周期，包括扫描、行使、抓久化、正派传输、数据盗窃和变现。使TeamPCP危机的不是时间新颖性，而是其运营整合和限制。深刻分析夸耀，他们的大部分缺欠行使和坏心软件齐基于大众皆知的缺欠和隐微修改的开源用具。"

"同期，TeamPCP将基础设实践使与数据盗窃和欺诈相聚会。泄漏的简历数据库、身份记载和企业数据通过ShellForce发布，为欺诈软件、欺诈和集会作恶声誉设立提供燃料。这种搀杂方式允许该组织将诡计资源和信息齐进行变现，为其提供多种收入泉源和造反打击的弹性。"

Q&A

Q1：TeamPCP是什么组织？它主要作念什么？

A：TeamPCP是一个云原生集会作恶平台，也被称为DeadCatx3、PCPcat、PersyPCP和ShellForce。该组织行使成立演叨的云基础设施进行数据盗窃、欺诈行动、加密货币挖矿等作恶行动，并通过Telegram频说念发布窃取的数据。

Q2：TeamPCP主要抨击哪些云工作？

A：TeamPCP主要针对亚马逊集会工作和微软Azure环境，行使泄漏的Docker API、Kubernetes集群、Ray姿首板、Redis工作器以及React/Next.js应用步调缺欠进行抨击，这些抨击具有契机主义性质。

Q3：TeamPCP使用什么抨击技巧？

A：TeamPCP并不使用新颖时间米兰，而是依赖已知缺欠、成立演叨和开源用具。其中枢载荷包括proxy.sh（装配代理用具）、scanner.py（扫描Docker API）、kube.py（Kubernetes抨击）和react.py（行使React缺欠）等。