برزت مجموعة TeamPCP، المعروفة أيضاً بأسماء مثل PCPcat و ShellForce و DeadCatx3، في ديسمبر 2025 كجهة فاعلة تهديدات متطورة تستهدف نقاط الضعف الشائعة في البنية التحتية السحابية، مثل واجهات برمجة تطبيقات Docker المكشوفة، وتجمعات Kubernetes، وخوادم Redis، وثغرات React2Shell. نفذت المجموعة حملة واسعة النطاق بهدف بناء بنية تحتية موزعة للمراقبة والمسح على نطاق واسع، ثم اختراق الخوادم لسرقة البيانات، ونشر برامج الفدية، وتنفيذ عمليات الابتزاز، وتعدين العملات المشفرة. بلغت ذروة النشاط حول يوم عيد الميلاد 2025، وبعد ذلك خفتت البنية التحتية بشكل كبير، على الرغم من احتفال أعضاء المجموعة علناً بالبيانات المسروقة عبر قنوات Telegram.
ما يميز TeamPCP ليس الابتكار التقني، بل النطاق التشغيلي والتكامل. تكمن قوة الحملة في الأتمتة واسعة النطاق بدلاً من الاستغلالات الجديدة، حيث تسلح المجموعة الثغرات الموثقة جيداً في منصة استغلال سحابية الأصل تحول البنية التحتية المكشوفة إلى نظام بيئي إجرامي يتكاثر ذاتياً. يتم إعادة توظيف الخوادم المخترقة للتعدين المشفر، وشبكات الوكلاء، وقيادة السيطرة، وعمليات المسح، واستضافة البيانات.
حدد باحثو Flare 185 خادماً مخترقاً يشغل حاويات تم نشرها بواسطة المهاجمين، مما يوفر رؤية واضحة لأساليب TeamPCP. بالإضافة إلى عقدة القيادة والسيطرة الرئيسية، تم تحديد بنية تحتية ثانوية، مما يشير إلى التكرار التشغيلي أو الهجرة المبكرة للبنية التحتية. تأتي غالبية البيانات المسربة من الدول الغربية، وتستهدف منظمات في قطاعات التجارة الإلكترونية والمالية والموارد البشرية. تهيمن البنية التحتية السحابية على الضحايا، حيث تمثل Azure 61% و AWS 36% من الخوادم المخترقة.
آلية الهجوم والانتشار الشبيه بالديدان
تبدأ عمليات TeamPCP بمسح آلي عبر نطاقات IP ضخمة لاكتشاف واجهات برمجة تطبيقات Docker ولوحات تحكم Ray المكشوفة. بمجرد تأكيد الوصول، تقوم المجموعة بنشر حاويات أو وظائف ضارة عن بعد عبر واجهات برمجة التطبيقات الإدارية غير المصادق عليها. بالنسبة لـ Docker، يسحبون صورة Alpine ويشغلون حاوية ذاتية التشغيل بالشبكة المضيفة لجلب وتنفيذ نصوص برمجية عن بعد.
يعمل برنامج proxy.sh النصي كعمود فقري تشغيلي للحملة، حيث يقوم بتثبيت أدوات وكيل، وأدوات نظير إلى نظير، وقدرات تورينغ، ومحليلات إضافية تبحث باستمرار عن الخوادم الضعيفة. لضمان الاستمرارية طويلة الأجل، يقوم البرنامج النصي بتسجيل خدمات نظام متعددة، وتحويل كل مضيف مصاب بفعالية إلى عقدة مسح وترحيل ذاتية الصيانة. عند اكتشاف بيئات Kubernetes، ينقسم البرنامج النصي إلى مسار تنفيذ منفصل ويسقط حمولات ثانوية خاصة بالتجمع، مما يشير إلى أدوات مميزة للأهداف السحابية الأصلية.
من جهة أخرى، فإن الاعتماد على الثغرات المعروفة يسهل عملية الاستدامة والتوسع السريع لهذه المجموعة. تسمح استراتيجية TeamPCP للمجموعة بإعادة استخدام مكونات البنية التحتية المخترقة، مما يقلل من تكاليف التشغيل ويعزز قدرتها على الهجوم. من المرجح أن تستمر هذه التكتيكات في الظهور في الهجمات السحابية المستقبلية، مما يتطلب يقظة مستمرة وقدرات دفاعية قوية.