Investigadores de ciberseguridad han revelado detalles de un nuevo marco de robo de credenciales denominado PCPJack que apunta a la infraestructura de la nube expuesta y elimina cualquier artefacto vinculado a TeamPCP de los entornos.
«El conjunto de herramientas recopila credenciales de la nube, contenedores, desarrolladores, productividad y servicios financieros, luego filtra los datos a través de una infraestructura controlada por el atacante mientras intenta difundirlos a hosts adicionales», dijo el investigador de seguridad de SentinelOne, Alex Delamotte, en un informe publicado hoy.
PCPJack está diseñado específicamente para apuntar a servicios en la nube como Docker, Kubernetes, Redis, MongoDB, RayML y aplicaciones web vulnerables, lo que permite a los operadores propagarse como un gusano, así como moverse lateralmente dentro de las redes comprometidas.
Se considera que el objetivo final de la campaña de ataque a la nube es generar ingresos ilícitos para los actores de la amenaza mediante el robo de credenciales, fraude, spam, extorsión o reventa de acceso robado. El
Lo que hace que esta actividad sea notable es que comparte importantes superposiciones de objetivos con TeamPCP, un actor de amenazas que saltó a la fama a fines del año pasado al explotar vulnerabilidades de seguridad conocidas (por ejemplo, React2Shell) y configuraciones erróneas en los servicios en la nube para reclutar los puntos finales en una red en constante expansión para llevar a cabo el robo de datos y otras acciones posteriores a la explotación.
Al mismo tiempo, PCPJack carece de un componente de minería de criptomonedas, a diferencia de TeamPCP. Si bien no se sabe por qué no se adoptó esta obvia estrategia de monetización, las similitudes entre los dos grupos indican que PCPJack podría ser obra de un ex miembro de TeamPCP que está familiarizado con el oficio del grupo.
El punto de partida del ataque es un script de shell de arranque que se utiliza para preparar el entorno (como configurar el host de carga útil) y descargar herramientas de la siguiente etapa, mientras simultáneamente toma medidas para infectar su propia infraestructura, terminar y eliminar procesos o artefactos asociados con TeamPCP, instalar Python, establecer persistencia, descargar seis scripts de Python, iniciar el script de orquestación y eliminarse.
Las seis cargas útiles de Python son las siguientes:
- gusano.py (escrito en el disco como monitor.py), el orquestador principal que lanza los módulos especialmente diseñados, realiza el robo de credenciales locales, propaga el conjunto de herramientas a otros hosts mediante la explotación de fallas conocidas (CVE-2025-55182, CVE-2025-29927, CVE-2026-1357, CVE-2025-9501 y CVE-2025-48703), y utiliza Telegram para comando y control (C2)
- analizador.py (utils.py), para manejar la extracción de credenciales para categorizar claves y secretos robados
- lateral.py (_lat.py), para facilitar el reconocimiento, recopilar secretos y permitir el movimiento lateral entre los servicios SSH, Kubernetes, Docker, Redis, RayML y MongoDB.
- cripto_util.py (_cu.py), para cifrar las credenciales antes de la filtración al canal de Telegram del atacante
- rangos_nube.py (_cr.py), para recopilar rangos de direcciones IP asignados a Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Cloudflare, Cloudfront y Fastly, y actualizar los datos cada 24 horas.
- cloud_scan.py (_csc.py), para ejecutar el escaneo de puertos en la nube para propagación externa a través de los servicios Docker, Kubernetes, MongoDB, RayML o Redis
Los objetivos de propagación del script del orquestador provienen de archivos parquet que el gusano extrae directamente de Common Crawl, una organización sin fines de lucro que rastrea la web y proporciona sus archivos y conjuntos de datos al público sin costo adicional.
«Al extraer información y credenciales del sistema, el operador de PCPJack incluso recopila métricas de éxito sobre si TeamPCP ha sido desalojado de entornos específicos en un campo ‘PCP reemplazado’ enviado al C2», dijo Delamotte. Esto «implica un enfoque directo en las actividades del actor de la amenaza en lugar de un puro oportunismo de ataque a la nube».
Un análisis más detallado de la infraestructura del actor de amenazas ha descubierto otro script de shell («check.sh») que detecta la arquitectura de la CPU y recupera el binario Sliver apropiado. También escanea los puntos finales del Servicio de metadatos de instancia (IMDS), las cuentas de servicio de Kubernetes y las instancias de Docker en busca de credenciales asociadas con Anthropic, Digital Ocean, Discord, Google API, Grafana Cloud, HashiCorp Vault, OnePassword y OpenAI, y las transmite a un servidor externo.
«En general, los dos conjuntos de herramientas están bien desarrollados e indican que el propietario valora la creación de código como un marco modular, a pesar de algunas redundancias en el comportamiento», dijo SentinelOne. «Esta campaña no (implementa mineros) y elimina deliberadamente las funciones de minero asociadas con TeamPCP. A pesar de eso, este actor tiene alcances bien definidos para extraer credenciales de criptomonedas».