TeamPCP-Wurm
Cybersicherheitsforscher haben eine großangelegte, von Würmern gesteuerte Kampagne aufgedeckt, die systematisch Cloud-Umgebungen ins Visier nimmt, um schädliche Infrastruktur für die anschließende Ausnutzung zu schaffen. Aktivitäten im Zusammenhang mit dieser Operation wurden um den 25. Dezember 2025 beobachtet und deuten auf einen koordinierten Versuch hin, ungeschützte Dienste und Schwachstellen in modernen Cloud-Architekturen auszunutzen.
Inhaltsverzeichnis
TeamPCP: Ein schnell entstehender Bedrohungscluster
Die Kampagne wird einer Bedrohungsgruppe namens TeamPCP zugeschrieben, die auch unter den Aliasnamen DeadCatx3, PCPcat, PersyPCP und ShellForce bekannt ist. Es gibt Hinweise darauf, dass die Gruppe mindestens seit November 2025 aktiv ist; entsprechende Aktivitäten auf Telegram lassen sich bis zum 30. Juli 2025 zurückverfolgen. Der TeamPCP-Telegram-Kanal, der mittlerweile über 700 Mitglieder zählt, dient der Veröffentlichung gestohlener Daten von Opfern in Kanada, Serbien, Südkorea, den Vereinigten Arabischen Emiraten und den USA.
Die Aktivitäten des Akteurs wurden von Forschern erstmals im Dezember 2025 unter der Bezeichnung Operation PCPcat dokumentiert.
Opportunistischer Missbrauch von Cloud-nativen Schwächen
TeamPCP agiert als Cloud-native Cyberkriminalitätsplattform und nutzt ungeschützte Verwaltungsschnittstellen, häufige Fehlkonfigurationen und kritische Sicherheitslücken aus, darunter die kürzlich bekannt gewordene React2Shell-Schwachstelle (CVE-2025-55182, CVSS 10.0). Zu den primären Infektionswegen der Kampagne gehören:
Offengelegte Docker-APIs, Kubernetes-APIs, Ray-Dashboards, Redis-Server und anfällige React/Next.js-Anwendungen
Diese Schwächen werden nicht ausgenutzt, um bestimmte Branchen ins Visier zu nehmen, sondern um opportunistisch Infrastrukturen zu übernehmen, am häufigsten innerhalb von Amazon Web Services- und Microsoft Azure-Umgebungen, wodurch betroffene Organisationen zu Kollateralschäden werden.
Industrialisierte Ausbeutung im großen Maßstab
Anstatt auf neuartige Techniken zu setzen, konzentriert sich TeamPCP auf Skalierbarkeit und Automatisierung. Die Operation kombiniert etablierte Tools, bekannte Schwachstellen und weithin dokumentierte Fehlkonfigurationen, um die Ausnutzung zu industrialisieren. Kompromittierte Umgebungen werden in ein sich selbst verbreitendes kriminelles Ökosystem verwandelt, das Scannen, laterale Bewegung, Persistenz und Monetarisierung ermöglicht.
Zu den übergeordneten Zielen gehören der Aufbau einer verteilten Proxy- und Scanning-Infrastruktur, die Exfiltration von Daten, der Einsatz von Ransomware, die Durchführung von Erpressungskampagnen und das Mining von Kryptowährung. Kompromittierte Systeme werden zudem für Datenhosting, Proxy-Dienste und Command-and-Control-Relays missbraucht.
Modulare Nutzlasten und Cloud-fähige Werkzeuge
Ein erfolgreicher Erstzugriff ermöglicht die Auslieferung sekundärer Schadsoftware von externen Servern, typischerweise in Shell- oder Python-Form, um die Reichweite der Kampagne zu vergrößern. Eine zentrale Komponente, proxy.sh, installiert Proxy-, Peer-to-Peer- und Tunneling-Tools und setzt Scanner ein, die das Internet kontinuierlich nach neuen, angreifbaren Zielen durchsuchen.
Insbesondere führt proxy.sh ein Laufzeitumgebungs-Fingerprinting durch, um festzustellen, ob es innerhalb eines Kubernetes-Clusters ausgeführt wird. Wird eine solche Umgebung erkannt, folgt das Skript einem separaten Ausführungspfad und stellt clusterspezifische Nutzdaten bereit, was den auf Cloud-native Ziele zugeschnittenen Ansatz des Teams unterstreicht.
Eine Teilmenge der unterstützenden Nutzdaten umfasst:
- scanner.py lädt CIDR-Bereiche von einem mit DeadCatx3 verknüpften GitHub-Konto herunter, um falsch konfigurierte Docker-APIs und Ray-Dashboards zu finden; optional ist Kryptowährungs-Mining über mine.sh möglich.
- kube.py konzentriert sich auf das Sammeln von Kubernetes-Anmeldeinformationen, die API-basierte Erkennung von Pods und Namespaces, die Weitergabe über zugängliche Pods und die Persistenz über privilegierte Pods, die auf jedem Knoten bereitgestellt werden.
- react.py nutzt eine React-Schwachstelle (CVE-2025-29927) aus, um die Ausführung von Remote-Befehlen in großem Umfang zu ermöglichen.
- pcpcat.py durchsucht große IP-Bereiche nach exponierten Docker-APIs und Ray-Dashboards und stellt bösartige Container oder Jobs bereit, die Base64-kodierte Nutzdaten ausführen.
Führungs- und Kontrollfähigkeiten sowie Fähigkeiten zur Nachnutzung
Die Forscher haben einen Command-and-Control-Knoten unter der IP-Adresse 67.217.57[.]240 mit der Operation in Verbindung gebracht und dabei Überschneidungen mit der Verwendung von Sliver festgestellt, einem legitimen Open-Source-C2-Framework, das von Bedrohungsakteuren häufig in der Post-Exploitation-Phase missbraucht wird.
Ein hybrides Monetarisierungsmodell, das auf Resilienz ausgelegt ist
Die PCPcat-Kampagne demonstriert einen vollständigen Angriffszyklus – Scannen, Ausnutzen, Persistenz, Tunneling, Datendiebstahl und Monetarisierung –, der speziell für Cloud-Infrastrukturen entwickelt wurde. Die Hauptgefahr durch TeamPCP liegt nicht in der technischen Innovation, sondern in der operativen Integration und Skalierung. Die meisten Exploits und Malware nutzen bekannte Schwachstellen und leicht modifizierte Open-Source-Tools aus.
Gleichzeitig verknüpft die Gruppe Infrastrukturmissbrauch mit Datendiebstahl und Erpressung. Durchgesickerte Lebenslaufdatenbanken, Identitätsdatensätze und Unternehmensdaten werden über ShellForce veröffentlicht, um Ransomware-Angriffe, Betrug und Reputationsaufbau im Cyberkriminalitäts-Ökosystem zu fördern. Diese duale Monetarisierungsstrategie, die sowohl von Rechenressourcen als auch von gestohlenen Informationen profitiert, generiert mehrere Einnahmequellen und erhöht die Widerstandsfähigkeit gegen Störungen und Systemabschaltungen.
