پژوهشگران امنیت سایبری از شناسایی یک کمپین گسترده و سازمانیافته Wormمحور خبر میدهند که بهصورت سیستماتیک محیطهای Cloud-Native را هدف قرار میدهد.
این کمپین با سوءاستفاده از پیکربندیهای اشتباه و آسیبپذیریهای شناختهشده، زیرساختهای ابری را به بستر مجرمانه برای حملات ثانویه و خودانتشاردهنده تبدیل میکند.
فعالیتهای این Worm از حوالی 25 دسامبر 2025 مشاهده شده و به گروه تهدید TeamPCP نسبت داده شده است؛گروهی که با نامهای دیگری مانند DeadCatx3 ، PCPcat ،PersyPCP و ShellForce نیز شناخته میشود.
مسیرهای اولیه نفوذ TeamPCP Worm
TeamPCP Worm از مجموعهای از نقاط ضعف رایج اما بسیار خطرناک برای نفوذ استفاده میکند، از جمله:
- APIهای Dockerدر معرض اینترنت
- کلاسترهایKubernetes ناایمن
- داشبودهایRay بدون احراز هویت
- سرورهایRedis با پیکربندی نادرست
- آسیبپذیری React2Shell با شناسه CVE-2025-55182 و امتیاز CVSS: 10.0
این ترکیب باعث میشود Worm بتواند بهصورت خودکار گسترش یابد و بدون نیاز به هدفگیری یک صنعت خاص، هر زیرساخت آسیبپذیری را آلوده کند.
هدف اصلی TeamPCP: ساخت پلتفرم جرم سایبری خودانتشاردهنده
به گفته Assaf Morag از Flare، عملیات TeamPCP تنها به نفوذ محدود نمیشود، بلکه یک زنجیره کامل عملیات جرم سایبری Cloud-Native ایجاد میکند که شامل موارد زیر است:
- ساخت شبکه پروکسی و اسکنر توزیعشده
- سرقت داده (Data Exfiltration)
- استقرار باج افزار (Ransomware)
- اخاذی سایبری
- استخراج رمزارز
- استفاده از زیرساخت قربانی بهعنوان C2 و Relay
در عمل، TeamPCP یک پلتفرم جرم سایبری Cloud-Native ایجاد میکند که فرآیند حمله را خودکار، صنعتی و مقیاسپذیر میسازد.
چرا این Worm خطرناک است؟ نه نوآورانه، بلکه بسیار مؤثر
TeamPCP از تکنیکهای عجیب یا Zero-Day پیچیده استفاده نمیکند. قدرت واقعی این کمپین در موارد زیر است:
- استفاده از ابزارهای آماده و Open-Source
- سوءاستفاده از آسیبپذیریهای شناختهشده
- اتکا به خطاهای پیکربندی رایج در Cloud
- خودکارسازی کامل زنجیره حمله
این رویکرد باعث میشود زیرساختهای آلوده به یک اکوسیستم مجرمانه خودانتشاردهنده تبدیل شوند.
payloadهای کلیدی TeamPCP Worm
مهمترین payloadها و کامپوننتهای فنی این کمپین عبارتاند از:
- sh: نصب ابزارهای Proxy، P2P و Tunnel و اجرای اسکن مداوم اینترنت
- تشخیص محیط Kubernetes و اجرای Payload اختصاصی
- py: شناسایی Docker API و داشبودهای Ray+ قابلیت استخراج ارز دیجیتال
- py: سرقت اعتبارنامههای Kubernetes، شناسایی Pod و Namespace و استقرار Backdoor دائمی
- py: بهرهبرداری از آسیبپذیری React برای اجرای فرمان از راه دور در مقیاس بالا
- py: اسکن گسترده بازه های وسیع IP و اجرای Container مخرب با Payload رمزگذاریشده
اهداف اصلی حملات
بر اساس دادههای Flare، TeamPCP عمدتاً زیرساختهای زیر را هدف قرار میدهد:
- Amazon Web Services (AWS)
- Microsoft Azure
این حملات فرصتطلبانه هستند؛ یعنی هر سازمانی که چنین زیرساختی را اجرا کند، میتواند بهعنوان قربانی جانبی (Collateral Victim) آلوده شود.
مدل درآمدی دوگانه TeamPCP
TeamPCP همزمان از دو مسیر کسب درآمد میکند:
- سوءاستفاده از توان محاسباتی (Mining، Proxy، C2)
- سرقت و انتشار دادهها (فروش، اخاذی، تقویت اعتبار سایبری)
دادههای افشاشده از طریق ShellForce برای حملات باجافزاری، کلاهبرداری و جرایم مالی استفاده میشوند.
جمعبندی تحلیلی؛ زنگ خطر برای امنیت Cloud
کمپین TeamPCP Worm نشان میدهد که امنیت Cloud دیگر فقط مسئله Patch نیست. ترکیب پیکربندی اشتباه، ابزارهای قدرتمند و خودکارسازی حمله، Cloud را به هدف ایدهآل Wormهای مدرن تبدیل میکند.
بدون:
- ایمنسازی پیشفرض (Hardening)
- کنترل دسترسی دقیق
- مانیتورینگ مداوم APIها
- Zero Trust واقعی
زیرساخت Cloud میتواند ناخواسته به بخشی از زنجیره جرم سایبری جهانی تبدیل شود.
