Ver TeamPCP
Des chercheurs en cybersécurité ont mis au jour une vaste campagne utilisant un ver informatique pour cibler systématiquement les environnements cloud natifs afin de construire une infrastructure malveillante en vue de son exploitation ultérieure. Une activité liée à cette opération a été observée aux alentours du 25 décembre 2025, révélant un effort coordonné pour exploiter les services exposés et les vulnérabilités des architectures cloud modernes.
Table des matières
TeamPCP : un groupe de menaces émergent rapidement
Cette campagne a été attribuée à un groupe de cybercriminels identifié sous le nom de TeamPCP, également connu sous les pseudonymes de DeadCatx3, PCPcat, PersyPCP et ShellForce. Des éléments indiquent que ce groupe est actif depuis au moins novembre 2025, son activité sur Telegram remontant au 30 juillet 2025. La chaîne Telegram de TeamPCP, qui compte désormais plus de 700 membres, sert à diffuser des données volées concernant des victimes au Canada, en Serbie, en Corée du Sud, aux Émirats arabes unis et aux États-Unis.
Les chercheurs ont documenté pour la première fois les opérations de cet acteur en décembre 2025 sous la désignation Opération PCPcat.
Exploitation opportuniste des faiblesses des technologies natives du cloud
TeamPCP opère comme une plateforme de cybercriminalité native du cloud, exploitant les interfaces de gestion exposées, les erreurs de configuration courantes et les vulnérabilités critiques, notamment la faille React2Shell récemment divulguée (CVE-2025-55182, CVSS 10.0). Les principaux vecteurs d'infection observés lors de cette campagne sont les suivants :
API Docker, API Kubernetes, tableaux de bord Ray, serveurs Redis et applications React/Next.js vulnérables exposés
Ces faiblesses sont exploitées non pas pour cibler des secteurs spécifiques, mais pour s'emparer opportunément d'infrastructures, le plus souvent au sein des environnements Amazon Web Services et Microsoft Azure, transformant ainsi les organisations touchées en victimes collatérales.
Exploitation industrialisée à grande échelle
Plutôt que de s'appuyer sur des techniques novatrices, TeamPCP privilégie l'échelle et l'automatisation. L'opération combine des outils éprouvés, des vulnérabilités connues et des erreurs de configuration largement documentées pour industrialiser l'exploitation. Les environnements compromis sont transformés en un écosystème criminel auto-entretenu qui prend en charge l'analyse des vulnérabilités, les déplacements latéraux, la persistance et la monétisation.
Les objectifs généraux comprennent la mise en place d'une infrastructure de proxy distribuée et d'analyse de vulnérabilités, l'exfiltration de données, le déploiement de rançongiciels, la conduite de campagnes d'extorsion et le minage de cryptomonnaies. Les actifs compromis sont également réutilisés pour l'hébergement de données, les services de proxy et les relais de commande et de contrôle.
Charges utiles modulaires et outils adaptés au cloud
L'accès initial réussi permet la distribution de charges utiles secondaires depuis des serveurs externes, généralement sous forme de scripts shell ou Python, conçues pour étendre la portée de la campagne. Un composant central, proxy.sh, installe des utilitaires de proxy, de peer-to-peer et de tunneling, tout en déployant des scanners qui analysent en permanence Internet à la recherche de nouvelles cibles vulnérables.
Il est à noter que proxy.sh effectue une analyse de l'environnement d'exécution pour déterminer s'il s'exécute au sein d'un cluster Kubernetes. Lorsqu'un tel environnement est détecté, le script suit un chemin d'exécution distinct et déploie des charges utiles spécifiques au cluster, illustrant ainsi l'approche personnalisée du groupe vis-à-vis des cibles cloud-native.
Un sous-ensemble des charges utiles prises en charge comprend :
- scanner.py, qui télécharge les plages CIDR depuis un compte GitHub associé à DeadCatx3 pour localiser les API Docker et les tableaux de bord Ray mal configurés, avec minage de cryptomonnaie optionnel via mine.sh
- kube.py, qui se concentre sur la récupération des identifiants Kubernetes, la découverte des pods et des espaces de noms via une API, la propagation à travers les pods accessibles et la persistance via des pods privilégiés montés sur chaque nœud
- react.py exploite une vulnérabilité de React (CVE-2025-29927) pour exécuter des commandes à distance à grande échelle.
- pcpcat.py, qui analyse de larges plages d'adresses IP à la recherche d'API Docker et de tableaux de bord Ray exposés, et déploie des conteneurs ou des tâches malveillantes exécutant des charges utiles encodées en Base64.
Capacités de commandement et de contrôle et de post-exploitation
Les chercheurs ont lié un nœud de commande et de contrôle à 67.217.57[.]240 à l'opération, notant des chevauchements avec l'utilisation de Sliver, un framework C2 open-source légitime fréquemment abusé par les acteurs de la menace lors des phases de post-exploitation.
Un modèle de monétisation hybride conçu pour la résilience
La campagne PCPcat illustre un cycle de vie complet d'attaque : analyse, exploitation, persistance, tunnelage, vol de données et monétisation, conçu spécifiquement pour les infrastructures cloud. Le principal danger que représente TeamPCP ne réside pas dans l'innovation technique, mais dans son intégration opérationnelle et son ampleur. La plupart des exploits et des logiciels malveillants exploitent des vulnérabilités connues et des outils open source légèrement modifiés.
Parallèlement, le groupe combine l'exploitation abusive des infrastructures avec le vol de données et l'extorsion. Des bases de données de CV, des dossiers d'identité et des données d'entreprise divulgués sont publiés via ShellForce pour alimenter les opérations de rançongiciel, la fraude et le développement de sa réputation au sein de l'écosystème de la cybercriminalité. Cette double stratégie de monétisation, qui tire profit à la fois des ressources informatiques et des informations volées, génère de multiples sources de revenus et renforce sa résilience face aux perturbations et aux attaques.
