Los investigadores de ciberseguridad han llamado la atención sobre una «campaña masiva» que se ha dirigido sistemáticamente a entornos nativos de la nube para configurar infraestructura maliciosa para su posterior explotación.
La actividad, observada alrededor del 25 de diciembre de 2025 y descrita como «impulsada por gusanos», aprovechó las API de Docker expuestas, los clústeres de Kubernetes, los paneles de Ray y los servidores Redis, junto con la vulnerabilidad React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) recientemente revelada. La campaña se ha atribuido a un grupo de amenazas conocido como EquipoPCP (también conocido como DeadCatx3, PCPcat, PersyPCP y ShellForce).
Se sabe que TeamPCP está activo desde al menos noviembre de 2025, y la primera instancia de actividad en Telegram se remonta al 30 de julio de 2025. El canal TeamPCP Telegram tiene actualmente más de 700 miembros, donde el grupo publica datos robados de diversas víctimas en Canadá, Serbia, Corea del Sur, los Emiratos Árabes Unidos y los EE. UU. Beelzebub documentó por primera vez los detalles del actor de amenazas en diciembre de 2025 bajo el nombre Operación PCPcat.
«Los objetivos de la operación eran construir un proxy distribuido y una infraestructura de escaneo a escala, luego comprometer los servidores para exfiltrar datos, implementar ransomware, realizar extorsión y extraer criptomonedas», dijo el investigador de seguridad de Flare, Assaf Morag, en un informe publicado la semana pasada.
Se dice que TeamPCP funciona como una plataforma de cibercrimen nativa de la nube, aprovechando las API de Docker mal configuradas, las API de Kubernetes, los paneles de Ray, los servidores Redis y las aplicaciones vulnerables React/Next.js como principales vías de infección para violar la infraestructura moderna de la nube y facilitar el robo de datos y la extorsión.
Además, la infraestructura comprometida se utiliza indebidamente para una amplia gama de otros fines, que van desde la minería de criptomonedas y el alojamiento de datos hasta los relés proxy y de comando y control (C2).
En lugar de emplear cualquier técnica novedosa, TeamPCP se apoya en técnicas de ataque probadas, como herramientas existentes, vulnerabilidades conocidas y configuraciones erróneas frecuentes, para construir una plataforma de explotación que automatice e industrialice todo el proceso. Esto, a su vez, transforma la infraestructura expuesta en un «ecosistema criminal que se propaga a sí mismo», señaló Flare.
La explotación exitosa allana el camino para la implementación de cargas útiles de la siguiente etapa desde servidores externos, incluidos scripts basados en Shell y Python que buscan nuevos objetivos para una mayor expansión. Uno de los componentes principales es «proxy.sh», que instala utilidades de proxy, peer-to-peer (P2P) y de tunelización, y ofrece varios escáneres para buscar continuamente en Internet servidores vulnerables y mal configurados.
«En particular, proxy.sh realiza la toma de huellas digitales del entorno en el momento de la ejecución», dijo Morag. «Al principio de su tiempo de ejecución, comprueba si se está ejecutando dentro de un clúster de Kubernetes».
«Si se detecta un entorno Kubernetes, el script se bifurca en una ruta de ejecución separada y suelta una carga útil secundaria específica del clúster, lo que indica que TeamPCP mantiene herramientas y técnicas distintas para objetivos nativos de la nube en lugar de depender únicamente del malware genérico de Linux».
Una breve descripción de las otras cargas útiles es la siguiente:
- scanner.py, que está diseñado para encontrar API de Docker y paneles de Ray mal configurados descargando listas de enrutamiento entre dominios sin clase (CIDR) desde una cuenta de GitHub llamada «DeadCatx3», al mismo tiempo que presenta opciones para ejecutar un minero de criptomonedas («mine.sh»).
- kube.py, que incluye una funcionalidad específica de Kubernetes para realizar la recolección de credenciales de clúster y el descubrimiento de recursos basado en API, como pods y espacios de nombres, seguido de colocar «proxy.sh» en pods accesibles para una propagación más amplia y configurar una puerta trasera persistente mediante la implementación de un pod privilegiado en cada nodo que monta el host.
- react.py, que está diseñado para explotar la falla de React (CVE-2025-29927) para lograr la ejecución remota de comandos a escala.
- pcpcat.py, que está diseñado para descubrir API de Docker y paneles de Ray expuestos en grandes rangos de direcciones IP e implementar automáticamente un contenedor o trabajo malicioso que ejecuta una carga útil codificada en Base64.
Flare dijo que el nodo del servidor C2 ubicado en 67.217.57(.)240 también se ha vinculado a la operación de Sliver, un marco C2 de código abierto del que se sabe que los actores de amenazas abusan con fines posteriores a la explotación.
Los datos de la empresa de ciberseguridad muestran que los actores de amenazas destacan principalmente los entornos Amazon Web Services (AWS) y Microsoft Azure. Se considera que los ataques son de naturaleza oportunista y se dirigen principalmente a la infraestructura que respalda sus objetivos en lugar de atacar industrias específicas. El resultado es que las organizaciones que administran dicha infraestructura se convierten en «víctimas colaterales» en el proceso.
«La campaña PCPcat demuestra un ciclo de vida completo de escaneo, explotación, persistencia, túneles, robo de datos y monetización creado específicamente para la infraestructura de nube moderna», dijo Morag. «Lo que hace que TeamPCP sea peligroso no es la novedad técnica, sino su integración y escala operativa. Un análisis más profundo muestra que la mayoría de sus exploits y malware se basan en vulnerabilidades bien conocidas y herramientas de código abierto ligeramente modificadas».
«Al mismo tiempo, TeamPCP combina la explotación de la infraestructura con el robo de datos y la extorsión. Las bases de datos de CV, los registros de identidad y los datos corporativos filtrados se publican a través de ShellForce para impulsar el ransomware, el fraude y la creación de reputación de delitos cibernéticos. Este modelo híbrido permite al grupo monetizar tanto la computación como la información, lo que le brinda múltiples fuentes de ingresos y resiliencia contra las eliminaciones».