كشفت شركة Hunt.io المتخصصة في استخبارات التهديدات أن مجموعة القرصنة المعروفة باسم PCPJack قامت بالاستيلاء على خوادم سحابية تابعة لكل من Amazon Web Services (AWS) وGoogle Cloud وMicrosoft Azure، لتحويلها إلى شبكة خفيّة لإعادة توجيه البريد الإلكتروني عبر بروتوكول SMTP.
الخوادم المخترقة، المنتشرة في الولايات المتحدة وأوروبا وآسيا، جرى تحويلها بصمت إلى وكلاء بريد إلكتروني، يتم التحقق من قدرتها على إعادة التوجيه ومزامنتها مع خادم استهلاكي كل خمس دقائق، وهو ما يشير إلى عملية منظمة ودقيقة.
خلفية عن ظهور PCPJack
تم اكتشاف PCPJack لأول مرة في أبريل 2026 من قبل شركة SentinelOne، بعد رصد إطار عمل متطور لسرقة بيانات الاعتماد يستهدف الخدمات السحابية. المثير أن هذه المجموعة اتخذت خطوات لإزالة أي آثار مرتبطة بمجموعة أخرى تُعرف باسم TeamPCP، والتي اشتهرت مؤخراً بهجماتها على سلاسل توريد البرمجيات.
هذا السلوك يوحي بأن PCPJack قد يكون امتداداً أو انشقاقاً عن TeamPCP، مع تركيز جديد على استغلال البنية التحتية السحابية لأغراض مختلفة، بعيداً عن التعدين الرقمي الذي ميّز نشاطات المجموعة السابقة.
أدوات وتقنيات متقدمة في التنفيذ
من بين الملفات التي عُثر عليها في مجلدات مفتوحة على خادم التحكم والسيطرة (C2) أدوات متكاملة لنشر وكلاء SMTP مدمجين مع إطار Sliver، إضافة إلى برمجيات نفقية مثل Chisel تدعم معظم معماريات المعالجات في أنظمة لينكس (AMD64، ARM64، x86).
على جانب الضحايا، يتم إسقاط الملفات التنفيذية كملفات مخفية تحمل بادئة النقطة، وتُخزّن في مسارات لضمان الاستمرارية. كما تضمنت الأدلة نصوصاً برمجية لتشغيل عملاء Sliver والتحقق من إشارات beacons التي تتصل بالخادم كل عشر دقائق لاستقبال الأوامر.
اللافت أن كل beacon يحصل على منفذ SOCKS5 محدد عبر خوارزمية تعتمد على MD5 hash، ما يضمن ثبات المنفذ عبر الجلسات المختلفة دون الحاجة إلى سجل مشترك.
أهداف الشبكة الغامضة
تشير التحقيقات إلى أن الشبكة المكوّنة من 230 عقدة تمثل نتيجة ملموسة لعملية استغلال واسعة، لكن الهدف النهائي ما يزال غير واضح. فالقوائم الموثقة للوكلاء يتم إثراؤها بمعلومات عن عناوين IP والدول وأرقام الشبكات المستقلة (ASN) باستخدام خدمات مثل api.ipify.org وip-api.com، ثم تُنقل كل خمس دقائق عبر بروتوكول النسخ الآمن (SCP) إلى خادم آخر غير متاح حالياً.
هذا السلوك يوحي بوجود طرف ثالث يستهلك هذه القوائم بشكل دوري، سواء لأغراض الرسائل المزعجة (Spam) أو التصيد الاحتيالي (Phishing) أو ربما أهداف أخرى أكثر تعقيداً. ومع ذلك، يبقى الغموض مسيطراً على طبيعة الاستخدام النهائي لهذه الشبكة، خاصة أن الأدوات المكتشفة أظهرت تطوراً ملحوظاً عبر نسخ متعددة من النصوص البرمجية التي أزالت لاحقاً بوابة التحقق من جودة SMTP وآليات التجميع المرحلي.
دلالات أمنية واستراتيجية
تكشف هذه الحملة عن مستوى جديد من استغلال البنية التحتية السحابية، حيث لم يعد الهدف مقتصراً على سرقة بيانات الاعتماد أو التعدين الرقمي، بل أصبح يشمل بناء شبكات بريدية خفية يمكن استخدامها في عمليات واسعة النطاق.
كما أن ترك مجلدات مفتوحة دون حماية على خوادم التحكم والسيطرة يعكس إما إهمالاً من قبل المهاجمين أو محاولة متعمدة لتضليل المحققين. وفي كلتا الحالتين، فإن هذه الواقعة تؤكد الحاجة الملحّة إلى تعزيز آليات المراقبة الأمنية في بيئات السحابة، خاصة مع تزايد اعتماد المؤسسات على خدمات مثل AWS وGoogle Cloud وAzure.
