كشفت تقارير أمنية حديثة عن تطور خطير في تكتيكات جهة فاعلة تُعرف باسم TeamPCP، حيث أطلقت حمولة تدميرية جديدة تستهدف الأنظمة المكونة لإيران. يمثل هذا التوجه التصعيدي للديكتاتورية الأمنية تغيراً جوهرياً عن الأساليب السابقة التي ركزت على سرقة المعلومات والوصول الخلفي.
تُعرف TeamPCP منذ أواخر عام 2025 بأنها جهة فاعلة تهديدات تعتمد على البنية التحتية السحابية، وقد استعانت سابقًا بآليات استغلال API الخاص بـ Docker، وتجمعات Kubernetes، وخطوط أنابيب CI/CD التي تعاني من سوء التكوين. لكن الحمولة الجديدة تغير قواعد اللعبة بشكل كامل، حيث تقوم بمسح شامل للأنظمة المستهدفة بمجرد التأكد من أنها تابعة لبيئة إيرانية.
استهداف ديكتاتورية الأنظمة الإيرانية عبر Kubernetes Wiper
وفقًا لباحثي Aikido، فإن هذه الحمولة الجديدة هي امتداد مباشر لحملة CanisterWorm، وتشترك معها في نفس البنية التحتية للقيادة والتحكم عبر بروتوكول الإنترنت (ICP). وتؤكد الباحثة أن نفس شيفرة الوصول الخلفي، ومسار الإسقاط في /tmp/pglog، وحركة الحركة الجانبية الأصلية لأنظمة Kubernetes عبر DaemonSets، كلها تشير إلى أن TeamPCP تقوم بتطوير أدواتها لتشمل نوايا تدميرية.
عادةً ما يتم تسليم الحمولة عبر نطاقات متغيرة لقناة Cloudflare، مما يزيد من صعوبة حظرها على مستوى الشبكة. في البداية، أشارت إلى ملف واحد يسمى kamikaze.sh. لاحقًا، تم تقسيم المنطق إلى ملفين منفصلين: مُثبت شيلي يقوم بتنزيل وتنفيذ kube.py، ثم يحذف نفسه. هذا البرنامج النصي بلغة Python يحتوي على منطق القرار الأساسي الذي يحدد ما سيفعله البرنامج الضار بعد ذلك، بناءً على بيئة الهدف وموقعه.
آلية عمل “kamikaze”
يكمن جوهر هذا الهجوم في شجرة قرار رباعية المسارات توجه السلوك بناءً على متغيرين: ما إذا كان المضيف داخل تجميع Kubernetes، وما إذا كان مُكوّنًا لإيران. يتم الكشف عن وجود إيران من خلال قراءة إعدادات المنطقة الزمنية والموقع للنظام. فإذا كان الجهاز يستخدم Asia/Tehran، أو Iran، أو fa_IR، يتم تمييزه للتدمير.
بالنسبة للأنظمة الإيرانية التي تعمل داخل Kubernetes، تنشر الحمولة DaemonSet يسمى host-provisioner-iran مع حاوية بداخله تسمى kamikaze. تقوم هذه الحاوية بتحميل نظام ملفات جذر المضيف، وحذف كل شيء في المستوى الأعلى، ثم فرض إعادة التشغيل. نظرًا لأن DaemonSet يحمل قدرات تحمل تسجل عبر كل عقدة، بما في ذلك مستوى التحكم، فإن أمر نشر واحد كافٍ لشل النظام بأكمله.
في حالة الأنظمة الإيرانية التي لا تعمل ضمن Kubernetes، يتم الأمر بشكل مباشر: يقوم البرنامج النصي بتنفيذ rm -rf / --no-preserve-root، مما يؤدي إلى مسح نظام الملفات بأكمله. إذا كان يفتقر إلى امتيازات الجذر، فإنه يحاول استخدام sudo بدون كلمة مرور أولاً، ثم يحاول تنفيذ الأمر على أي حال، مدمرًا كل شيء مملوكًا للمستخدم الحالي كحد أدنى. كما تم اكتشاف متغير ثالث وأكثر قدرة من الحمولة، خالي من تبعية Kubernetes، مع إضافة ميزات الانتشار الذاتي.
يقوم هذا المتغير بتحليل سجلات مصادقة SSH لتحديد الأجهزة المتصلة سابقًا، ويسرق مفاتيح SSH الخاصة، ويبحث في الشبكة الفرعية المحلية عن واجهات برمجة تطبيقات Docker المكشوفة على المنفذ 2375. كلا مساري الانتشار يقدمان نفس الحمولة: تدمير لأهداف إيرانية وتثبيت باب خلفي صامت للآخرين.
ينصح فرق الأمان بمراجعة جميع DaemonSets في مساحة اسم kube-system فورًا بحثًا عن إدخالات غير متوقعة، وعلى وجه الخصوص host-provisioner-iran و host-provisioner-std. يجب التحقق من خدمات systemd المسماة internal-monitor أو pgmonitor، والملفات الموجودة في /var/lib/pgmon/pgmon.py، وعمليات pglog في /tmp/. يوصى بحظر الاتصالات الصادرة إلى نطاقات icp0[.]io، وإغلاق الوصول إلى واجهة برمجة تطبيقات Docker على المنفذ 2375، والتأكد من عدم تعرضها مطلقًا بدون مصادقة، وتدوير مفاتيح SSH على أي مضيف يحتمل أن يكون مخترقًا. كما ينبغي مراجعة سجلات مصادقة SSH بعناية لأي علامات على نشاط حركة جانبية غير طبيعي.