TeamPCPワーム
サイバーセキュリティ研究者らは、クラウドネイティブ環境を体系的に標的とし、悪意のあるインフラを構築して悪用しようとする、ワームを基盤とした広範な攻撃キャンペーンを発見しました。このキャンペーンに関連する活動は2025年12月25日頃に観測されており、最新のクラウドスタック全体にわたって無防備なサービスや脆弱性を悪用しようとする組織的な取り組みが明らかになりました。
目次
TeamPCP: 急速に出現する脅威クラスター
このキャンペーンは、TeamPCPとして追跡されている脅威クラスターによるものとされています。このグループは、DeadCatx3、PCPcat、PersyPCP、ShellForceなどの別名でも知られています。証拠によると、このグループは少なくとも2025年11月から活動しており、関連するTelegramアクティビティは2025年7月30日まで遡ります。700人以上のメンバーを抱えるTeamPCPのTelegramチャンネルは、カナダ、セルビア、韓国、アラブ首長国連邦、米国の被害者に関連する盗難データを公開するために使用されています。
研究者らは、2025年12月に「Operation PCPcat」という名称でこの攻撃者の活動を初めて記録した。
クラウドネイティブの弱点を悪用する
TeamPCPはクラウドネイティブのサイバー犯罪プラットフォームとして機能し、公開されている管理インターフェース、一般的な設定ミス、そして最近公表されたReact2Shellの脆弱性(CVE-2025-55182、CVSS 10.0)を含む重大な脆弱性を悪用しています。このキャンペーンで確認された主な感染経路は以下のとおりです。
公開された Docker API、Kubernetes API、Ray ダッシュボード、Redis サーバー、脆弱な React/Next.js アプリケーション
これらの脆弱性は、特定の業界を狙うためではなく、Amazon Web Services や Microsoft Azure 環境内で最も頻繁に発生するインフラストラクチャを機会主義的に乗っ取り、影響を受けた組織を巻き添えの被害者にするために悪用されます。
大規模な工業化された搾取
TeamPCPは、斬新な手法に頼るのではなく、規模と自動化を重視しています。この攻撃では、既存のツール、既知の脆弱性、そして広く文書化された設定ミスを組み合わせることで、エクスプロイトを産業化します。侵害された環境は、スキャン、ラテラルムーブメント、パーシステンス、そして収益化をサポートする自己増殖型の犯罪エコシステムへと変貌します。
全体的な目的には、分散型プロキシおよびスキャンインフラの構築、データの窃取、ランサムウェアの展開、恐喝キャンペーンの実行、暗号通貨のマイニングなどが含まれます。侵害された資産は、データホスティング、プロキシサービス、コマンドアンドコントロール(C&C)中継にも転用されます。
モジュール式ペイロードとクラウド対応ツール
初期アクセスに成功すると、外部サーバーから二次ペイロード(通常はシェルまたはPython形式)を配信し、攻撃範囲を拡大することが可能になります。中心となるコンポーネントであるproxy.shは、プロキシ、ピアツーピア、トンネリングユーティリティをインストールするとともに、インターネット上で新たな脆弱な標的を継続的に探索するスキャナーを展開します。
注目すべき点として、proxy.sh はランタイム環境のフィンガープリンティングを実行し、Kubernetes クラスタ内で実行されているかどうかを判断します。Kubernetes クラスタ内で実行されていることが検出されると、スクリプトは別の実行パスをたどり、クラスタ固有のペイロードを展開します。これは、このグループのクラウドネイティブなターゲットに対するカスタマイズされたアプローチを強調しています。
サポートされるペイロードのサブセットには以下が含まれます。
- scanner.py は、DeadCatx3 に関連付けられた GitHub アカウントから CIDR 範囲をダウンロードし、誤って構成された Docker API と Ray ダッシュボードを見つけます。オプションで mine.sh を介して暗号通貨マイニングも行います。
- kube.py は、Kubernetes 認証情報の収集、API ベースのポッドと名前空間の検出、アクセス可能なポッドを介した伝播、各ノードにマウントされた特権ポッドを介した永続性に重点を置いています。
- react.py は、React の脆弱性 (CVE-2025-29927) を悪用して、大規模なリモート コマンド実行を実現します。
- pcpcat.py は、公開されている Docker API と Ray ダッシュボードの大規模な IP 範囲をスキャンし、Base64 でエンコードされたペイロードを実行する悪意のあるコンテナやジョブを展開します。
コマンドアンドコントロールとエクスプロイト後の機能
研究者らは、67.217.57[.]240 にあるコマンドアンドコントロールノードをこの攻撃に関連付け、エクスプロイト後の段階で脅威の攻撃者が頻繁に悪用する合法的なオープンソースの C2 フレームワークである Sliver の使用との重複を指摘しました。
レジリエンスを重視したハイブリッド収益化モデル
PCPcatキャンペーンは、クラウドインフラ向けに特別に設計された、スキャン、エクスプロイト、パーシスタンス、トンネリング、データ窃取、そして収益化という、包括的な攻撃ライフサイクルを実証しています。TeamPCPがもたらす主な危険性は、技術革新ではなく、運用の統合と規模にあります。ほとんどのエクスプロイトとマルウェアは、既知の脆弱性と軽微な改変を加えたオープンソースツールを悪用します。
同時に、このグループはインフラの悪用とデータ窃盗および恐喝を巧みに組み合わせています。漏洩した履歴書データベース、個人情報記録、企業データはShellForceを通じて公開され、ランサムウェア攻撃、詐欺、そしてサイバー犯罪エコシステムにおける評判構築に利用されています。コンピューティングリソースと窃取情報の両方から利益を得るこの二重の収益化戦略は、複数の収益源を生み出し、妨害や攻撃に対する耐性を高めています。
