كشف باحثون أمنيون عن حملة إلكترونية ضخمة وصفوها بالـ”مدفوعة بديدان رقمية”، تستهدف بشكل منهجي البيئات السحابية الحديثة لإنشاء بنية تحتية خبيثة تستخدم في عمليات استغلال لاحقة.
تمت ملاحظة هذه الأنشطة حول تاريخ 25 ديسمبر 2025، حيث استغلت واجهات برمجة تطبيقات Docker المكشوفة، وعناقيد Kubernetes، ولوحات تحكم Ray، وخوادم Redis، بالإضافة إلى ثغرة React2Shell الحرجة (CVE-2025-55182) التي تحصل على الدرجة الكاملة 10.0 على مقياس CVSS.
نُسبت هذه الحملة إلى مجموعة تهديدات تعرف باسم TeamPCP، التي تحمل أيضاً أسماء DeadCatx3 وPCPcat وPersyPCP وShellForce.
تعمل TeamPCP كنظام إجرامي سحابي متكامل، مستغلةً التكوينات الخاطئة والتطبيقات الضعيفة كطرق رئيسية للاختراق. بدأت المجموعة نشاطها المسجل على الأقل منذ نوفمبر 2025، مع أول ظهور لقناتها على Telegram في 30 يوليو 2025، والتي تضم الآن أكثر من 700 عضو تنشر من خلالها بيانات مسروقة من ضحايا متنوعين عبر كندا وصربيا وكوريا الجنوبية والإمارات والولايات المتحدة. وصف الباحث الأمني عساف موراغ من شركة Flare أهداف العملية بأنها “بناء بنية تحتية موزعة للوكالات والمسح الضوئي على نطاق واسع، ثم اختراق الخوادم لسرقة البيانات، ونشر برامج الفدية، وممارسة الابتزاز، وتعدين العملات الرقمية”.
آلية الهجوم: من الاستغلال الآلي إلى الانتشار الذاتي
تعتمد المجموعة على تقنيات هجومية مجربة بدلاً من أدوات مبتكرة، مستخدمةً ثغرات معروفة وأدوات موجودة مسبقاً وتكوينات خاطئة شائعة لبناء منصة استغلال تؤتمت وتصنع العملية بأكملها. يؤدي هذا إلى تحويل البنية التحتية المكشوفة إلى ما وصفته Flare بـ”النظام الإجرامي ذاتي الانتشار”. يفتح الاستغلال الناجح الباب أمام نشر حمولات مرحلة متقدمة من خوادم خارجية، تتضمن نصوصاً قائمة على Shell وPython تبحث عن أهداف جديدة لمزيد من التوسع.
من المكونات الأساسية أداة “proxy.sh” التي تقوم بتركيب أدوات الوكيل والاتصال النظير-to-نظير والنفق، وتقدم مختلف أدوات المسح الضوئي للبحث باستمرار عبر الإنترنت عن الخوادم الضعيفة والمكونة بشكل خاطئ. يتميز هذا المكون بأداء “بصمة البيئة” أثناء وقت التنفيذ، حيث يتحقق مبكراً مما إذا كان يعمل داخل عنقود Kubernetes. عند اكتشاف بيئة Kubernetes، يتحول النص إلى مسار تنفيذ منفصل ويطلق حمولة ثانوية خاصة بالعنقود، مما يشير إلى أن TeamPCP تحتفظ بأدوات وتقنيات متميزة للأهداف السحابية بدلاً من الاعتماد فقط على برامج الضارة العامة لنظام Linux.
الحمولات الخبيثة: أدوات متخصصة لاستهداف كل مكون سحابي
تشمل الحمولات الأخرى التي تستخدمها المجموعة أداة “scanner.py” المصممة للعثور على واجهات برمجة تطبيقات Docker ولوحات تحكم Ray المكونة بشكل خاطئ عن طريق تنزيل قوائم CIDR من حساب GitHub يحمل اسم “DeadCatx3″، مع وجود خيارات لتشغيل أداة تعدين العملات الرقمية (“mine.sh”). كما تستخدم أداة “kube.py” التي تتضمن وظائف خاصة بـKubernetes لجمع بيانات اعتماد العنقود والاكتشاف القائم على واجهة برمجة التطبيقات للموارد مثل الحاويات ومساحات الأسماء، متبوعة بإسقاط “proxy.sh” في الحاويات المتاحة لمزيد من الانتشار وإنشاء باب خلفي مستدام من خلال نشر حاوية مميزة على كل عقدة.
إضافة إلى ذلك، تستخدم المجموعة أداة “react.py” المصممة لاستغلال ثغرة React (CVE-2025-29927) لتحقيق تنفيذ الأوامر عن بعد على نطاق واسع، وأداة “pcpcat.py” التي تكتشف واجهات برمجة تطبيقات Docker ولوحات تحكم Ray المكشوفة عبر نطاقات عناوين IP كبيرة وتنشر تلقائياً حاوية أو مهمة خبيثة تنفذ حمولة مشفرة بتنسيق Base64.
نمط الهجومات وآثارها: استهداف عشوائي وعوائد متعددة المصادر
تُظهر بيانات شركة الأمن السيبيري أن الجهات الفاعلة الخبيثة تستهدف بشكل رئيسي بيئات Amazon Web Services وMicrosoft Azure. تُقيم الهجمات على أنها انتهازية بطبيعتها، تستهدف في المقام الأول البنية التحتية التي تدعم أهدافها بدلاً من استهداف صناعات محددة. والنتيجة هي أن المنظمات التي تدير مثل هذه البنية التحتية تصبح “ضحايا جانبية” في هذه العملية.
تمزج TeamPCP بين استغلال البنية التحتية وسرقة البيانات والابتزاز. تُنشر قواعد بيانات السير الذاتية المسربة وسجلات الهوية والبيانات المؤسسية من خلال ShellForce لتغذية برامج الفدية والاحتيال وبناء السمعة في عالم الجريمة الإلكترونية. يسمح هذا النموذج الهجين للمجموعة بتحقيق الدخل من كل من قدرات الحوسبة والمعلومات، مما يوفر لها تدفقات إيرادات متعددة وقدرة على الصمود في وجه عمليات الإزالة.
أظهرت حملة PCPcat دورة حياة كاملة للمسح الضوئي والاستغلال والاستمرارية والنفق وسرقة البيانات وتحقيق الدخل المصممة خصيصاً للبنية التحتية السحابية الحديثة. ما يجعل TeamPCP خطيرة ليس الابتكار التقني، بل التكامل التشغيلي والنطاق الواسع. يُظهر التحليل الأعمق أن معظم عمليات الاستغلال والبرامج الضارة تستند إلى نقاط ضعف معروفة وأدوات مفتوحة المصدر معدلة قليلاً.
