Investigadores de ciberseguridad han revelado los detalles de un nuevo marco de robo de credenciales denominado PCPJack, que apunta a infraestructuras cloud expuestas y elimina cualquier rastro de TeamPCP. El conjunto de herramientas recopila credenciales de servicios cloud, contenedores, desarrolladores, productividad y financieros, y exfiltra los datos a través de infraestructura controlada por atacantes, mientras intenta propagarse a otros sistemas, según el investigador de SentinelOne, Alex Delamotte.
PCPJack está diseñado específicamente para atacar servicios cloud como Docker, Kubernetes, Redis, MongoDB, RayML y aplicaciones web vulnerables, lo que permite a los operadores propagarse de manera similar a un gusano y moverse lateralmente dentro de las redes comprometidas. Se estima que el objetivo final de la campaña es generar ingresos ilícitos mediante robo de credenciales, fraude, spam, extorsión o reventa de accesos robados.
Lo que hace notable esta actividad es que comparte importantes superposiciones de objetivos con TeamPCP, un actor de amenazas que saltó a la fama a finales del año pasado al explotar vulnerabilidades de seguridad conocidas (como React2Shell) y configuraciones incorrectas en servicios cloud para reclutar endpoints en una red en expansión con fines de robo de datos y otras acciones posteriores a la explotación. Sin embargo, PCPJack carece de un componente de minería de criptomonedas, a diferencia de TeamPCP. Aunque se desconoce por qué no se adoptó esta estrategia de monetización obvia, las similitudes entre los dos grupos indican que PCPJack podría ser obra de un exmiembro de TeamPCP familiarizado con las técnicas del grupo.
El punto de partida del ataque es un script shell bootstrap que se utiliza para preparar el entorno (por ejemplo, configurar el host de carga útil) y descargar herramientas de la siguiente etapa, mientras simultáneamente toma medidas para infectar su propia infraestructura, terminar y eliminar procesos o artefactos asociados con TeamPCP, instalar Python, establecer persistencia, descargar seis scripts de Python, lanzar el script de orquestación y eliminarse a sí mismo. Las seis cargas útiles de Python son:
- worm.py (escrito en disco como monitor.py): el orquestador principal que lanza los módulos especializados, realiza robo de credenciales local, propaga el conjunto de herramientas a otros hosts explotando fallos conocidos (CVE-2025-55182, CVE-2025-29927, CVE-2026-1357, CVE-2025-9501 y CVE-2025-48703) y usa Telegram para comando y control (C2)
- parser.py (utils.py): maneja la extracción de credenciales para categorizar claves y secretos robados
- lateral.py (_lat.py): facilita el reconocimiento, cosecha secretos y permite el movimiento lateral a través de servicios SSH, Kubernetes, Docker, Redis, RayML y MongoDB
- crypto_util.py (_cu.py): cifra las credenciales antes de la exfiltración al canal de Telegram del atacante
- cloud_ranges.py (_cr.py): recopila rangos de direcciones IP asignados a Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Cloudflare, Cloudfront y Fastly, y actualiza los datos cada 24 horas
- cloud_scan.py (_csc.py): realiza escaneo de puertos en la nube para propagación externa a través de servicios Docker, Kubernetes, MongoDB, RayML o Redis
Los objetivos de propagación para el script orquestador provienen de archivos parquet que el gusano extrae directamente de Common Crawl, una organización sin fines de lucro que rastrea la web y proporciona sus archivos y conjuntos de datos al público sin costo adicional. Al exfiltrar información del sistema y credenciales, el operador de PCPJack incluso recopila métricas de éxito sobre si TeamPCP ha sido expulsado de los entornos objetivo en un campo 'PCP reemplazado' enviado al C2, lo que implica un enfoque directo en las actividades del actor de amenazas en lugar de puro oportunismo de ataque en la nube.
Un análisis adicional de la infraestructura del actor de amenazas ha descubierto otro script shell ('check.sh') que detecta la arquitectura de la CPU y descarga el binario Sliver correspondiente. También escanea endpoints del Servicio de Metadatos de Instancia (IMDS), cuentas de servicio de Kubernetes e instancias de Docker en busca de credenciales asociadas con Anthropic, Digital Ocean, Discord, Google API, Grafana Cloud, HashiCorp Vault, OnePassword y OpenAI, y las transmite a un servidor externo. En general, los dos conjuntos de herramientas están bien desarrollados e indican que el propietario valora hacer del código un marco modular, a pesar de algunas redundancias en el comportamiento. Esta campaña no implementa mineros y elimina deliberadamente las funciones de minería asociadas con TeamPCP. A pesar de ello, este actor tiene ámbitos bien definidos para extraer credenciales de criptomonedas.
