أثار باحثون في مجال الأمن السيبراني الضوء على حملة “واسعة النطاق” استهدفت بشكل منهجي البيئات السحابية الحديثة لإنشاء بنية تحتية خبيثة لاستغلالها لاحقًا. هذه الحملة، التي رصدت في أواخر 2025، استخدمت ثغرات معروفة لتغيير الأنظمة السحابية إلى أدوات إجرامية.
تم رصد النشاط، الذي وصف بأنه “مدفوع بالديدان”، حوالي 25 ديسمبر 2025، واستغل واجهات برمجة التطبيقات المكشوفة لـ Docker، وعناقيد Kubernetes، وألواح معلومات Ray، وخوادم Redis، بالإضافة إلى الثغرة الأمنية التي تم الكشف عنها مؤخرًا React2Shell (CVE-2025-55182، درجة CVSS: 10.0). Campaign TeamPCP. تُعرف مجموعة TeamPCP بنشاطها منذ نوفمبر 2025 على الأقل، حيث يعود أول نشاط لها على Telegram إلى 30 يوليو 2025. تضم القناة حاليًا أكثر من 700 عضو، تنشر المجموعة بيانات مسروقة من ضحايا متنوعين في كندا وصربيا وكوريا الجنوبية والإمارات العربية المتحدة والولايات المتحدة.
حملة TeamPCP تستهدف البنية التحتية السحابية
وفقًا لتقرير صادر عن باحث الأمن في Flare، Assaf Morag، كانت أهداف العملية هي بناء بنية تحتية موزعة للفحص والوكلاء على نطاق واسع، ثم اختراق الخوادم لسرقة البيانات، ونشر برامج الفدية، وإجراء الابتزاز، وتعدين العملات المشفرة.
تعمل TeamPCP كمنصة للجريمة السيبرانية السحابية، مستفيدة من واجهات برمجة تطبيقات Docker وKubernetes وRay وRedis غير المهيأة بشكل صحيح، بالإضافة إلى تطبيقات React/Next.js الضعيفة، كمسارات عدوى رئيسية لاختراق البنية التحتية السحابية الحديثة لتسهيل سرقة البيانات والابتزاز.
بالإضافة إلى ذلك، يتم إساءة استخدام البنية التحتية المخترقة لمجموعة واسعة من الأغراض الأخرى، بدءًا من تعدين العملات المشفرة واستضافة البيانات وصولاً إلى الوكلاء وموصلات القيادة والتحكم (C2).
بدلاً من استخدام تكتيكات جديدة، تعتمد TeamPCP على تقنيات هجوم مجربة، مثل الأدوات الحالية والثغرات المعروفة والتكوينات الخاطئة المنتشرة، لبناء منصة استغلال تقوم بأتمتة العملية برمتها ودمجها صناعيًا. هذا، بدوره، يحول البنية التحتية المكشوفة إلى “نظام بيئي إجرامي ذاتي الانتشار”، حسبما لاحظت Flare.
آليات الاستغلال والانتشار
يفتح الاستغلال الناجح الباب لنشر حمولات المرحلة التالية من الخوادم الخارجية، بما في ذلك البرامج النصية المستندة إلى Shell وPython التي تبحث عن أهداف جديدة لمزيد من التوسع. أحد المكونات الأساسية هو “proxy.sh”، الذي يقوم بتثبيت أدوات الوكيل والنظير إلى نظير (P2P) والأنفاق، ويوفر ماسحات ضوئية متنوعة للبحث باستمرار في الإنترنت عن الخوادم الضعيفة وغير المهيأة.
لاحظ Morag أن “proxy.sh” يقوم بمسح البيئة عند التنفيذ. إذا تم اكتشاف بيئة Kubernetes، ينقسم البرنامج النصي إلى مسار تنفيذ منفصل ويسقط حمولة ثانوية خاصة بالمجموعة، مما يشير إلى أن TeamPCP تحتفظ بأدوات وتكتيكات مميزة للأهداف السحابية الحديثة بدلاً من الاعتماد على برامج Linux الضارة العامة فقط.
تشمل الحمولة الثانوية برامج نصية مثل scanner.py، المصمم للعثور على واجهات برمجة تطبيقات Docker وRay غير المهيأة بشكل صحيح؛ وkube.py، الذي يتضمن وظائف خاصة بـ Kubernetes لحصاد بيانات اعتماد المجموعة وتحديد الموارد؛ وreact.py، الذي يستغل ثغرة React لتحقيق تنفيذ الأوامر عن بعد. بالإضافة إلى ذلك، يقوم pcpcat.py باكتشاف واجهات برمجة تطبيقات Docker وRay المكشوفة ونشر حمولة خبيثة.
أشارت Flare إلى أن خادم القيادة والتحكم (C2) المرتبط بهذه الحملة تم ربطه أيضًا بعمليات إطار عمل Sliver مفتوح المصدر، والذي يُعرف بسوء استخدامه من قبل الجهات الفاعلة في مجال التهديد لأغراض ما بعد الاستغلال.
الأهداف والدافع وراء الهجمات
تُظهر بيانات الشركة المتخصصة في الأمن السيبراني أن الجهات الفاعلة في مجال التهديد تستهدف بشكل أساسي بيئات Amazon Web Services (AWS) وMicrosoft Azure. تُقيّم الهجمات على أنها انتهازية بطبيعتها، وتستهدف في المقام الأول البنية التحتية التي تدعم أهدافها بدلاً من استهداف صناعات معينة. نتيجة لذلك، تصبح المؤسسات التي تدير هذه البنية التحتية “ضحايا عرضية” في هذه العملية.
قال Morag: “تُظهر حملة PCPcat دورة حياة كاملة من المسح والاستغلال والمثابرة والأنفاق وسرقة البيانات وتحقيق الدخل، مبنية خصيصًا للبنية التحتية السحابية الحديثة.” وأضاف: “ما يجعل TeamPCP خطيرًا ليس الحداثة التقنية، بل تكاملهم التشغيلي ونطاقهم. ويُظهر تحليل أعمق أن معظم استغلالاتهم وبرامجهم الضارة تستند إلى ثغرات معروفة وأدوات مفتوحة المصدر معدلة بشكل طفيف.”
في الوقت نفسه، تمزج TeamPCP استغلال البنية التحتية مع سرقة البيانات والابتزاز. يتم نشر قواعد بيانات CV المسربة وسجلات الهوية وبيانات الشركات من خلال ShellForce لتغذية برامج الفدية والاحتيال وبناء سمعة الجرائم السيبرانية. يسمح هذا النموذج الهجين للمجموعة بتحقيق الدخل من كل من الحوسبة والمعلومات، مما يمنحها تدفقات إيرادات متعددة ومرونة ضد عمليات الإيقاف.