Pesquisadores de cibersegurança alertaram para uma campanha em larga escala que tem como alvo ambientes cloud native, instalando infraestrutura maliciosa para exploração posterior.
A atividade, detectada por volta de 25 de dezembro de 2025, foi descrita como “worm-driven” (baseada em worm) e explorou APIs do Docker expostas, clusters Kubernetes, dashboards Ray e servidores Redis vulneráveis, além da vulnerabilidade React2Shell (
CVE-2025-55182
, com CVSS 10.0) recentemente divulgada.
A campanha foi atribuída a um grupo de ameaças conhecido como TeamPCP — também chamado DeadCatx3, PCPcat, PersyPCP e ShellForce.
Sabe-se que o TeamPCP está ativo desde pelo menos novembro de 2025, com sua primeira atividade registrada no Telegram em 30 de julho do mesmo ano.
Atualmente, o canal do grupo nessa plataforma reúne mais de 700 membros e é usado para divulgar dados roubados de vítimas no Canadá, Sérvia, Coreia do Sul, Emirados Árabes Unidos e Estados Unidos.
As primeiras investigações sobre o grupo foram divulgadas pelo pesquisador Beelzebub em dezembro de 2025, sob o codinome Operação PCPcat.
Segundo o especialista Assaf Morag, da Flare Security, “os objetivos da operação eram construir uma infraestrutura distribuída para proxies e scanners, comprometer servidores para exfiltração de dados, implantar ransomware, realizar extorsão e minerar criptomoedas”.
O TeamPCP funciona como uma plataforma de cibercrime cloud native, explorando APIs Docker mal configuradas, Kubernetes, dashboards Ray, servidores Redis e aplicações React/Next.js vulneráveis para invadir infraestruturas modernas em nuvem, facilitando o roubo de dados e a extorsão.
Além disso, a infraestrutura comprometida é reutilizada para diversas finalidades, como mineração de criptomoedas, hospedagem de dados e atuação como proxies e relays de comando e controle (C2).
Em vez de desenvolver técnicas inéditas, o TeamPCP usa ferramentas consolidadas, vulnerabilidades conhecidas e configurações incorretas comuns para automatizar e industrializar o processo de invasão, criando um “ecossistema criminoso autorreplicante”.
Após a exploração bem-sucedida, o grupo implanta payloads adicionais hospedados em servidores externos.
Esses scripts em shell e Python buscam novos alvos para expandir a infecção.
Um dos principais componentes é o “proxy.sh”, que instala utilitários de proxy, peer-to-peer (P2P) e tunelamento, além de scanners que vasculham continuamente a internet em busca de servidores vulneráveis ou mal configurados.
Importante destacar que o “proxy.sh” faz fingerprinting do ambiente durante a execução.
No início, verifica se está em um cluster Kubernetes e, caso positivo, segue uma rota de execução específica, instalando um payload secundário voltado para ambientes em nuvem.
Isso indica que o TeamPCP mantém ferramentas e técnicas específicas para ambientes cloud native, ao invés de usar apenas malware genérico para Linux.
Outros payloads utilizados incluem:
- **scanner.py**: busca APIs Docker e dashboards Ray mal configurados, usando listas CIDR baixadas do GitHub do grupo DeadCatx3, podendo executar um minerador de criptomoedas via “mine.sh”;
- **kube.py**: coleta credenciais em clusters Kubernetes e descobre recursos, como pods e namespaces, por meio da API.
Também implanta o “proxy.sh” em pods acessíveis para propagação e cria backdoors persistentes com pods privilegiados que montam o host em cada nó;
- **react.py**: explora a falha React2Shell (
CVE-2025-29927
) para executar comandos remotamente em larga escala;
- **pcpcat.py**: escaneia grandes faixas de IP em busca de APIs Docker e dashboards Ray expostos, implantando containers ou jobs maliciosos com payloads codificados em Base64.
A Flare também associou o servidor C2 no IP 67.217.57[.]240 ao framework aberto Sliver, amplamente utilizado por criminosos para post-exploitation.
Dados indicam que os ataques do TeamPCP focam principalmente em ambientes da Amazon Web Services (AWS) e Microsoft Azure.
As ações são oportunistas e miram infraestruturas alinhadas aos objetivos do grupo, sem preferência por setores específicos.
Como resultado, organizações com essas infraestruturas acabam sendo vítimas colaterais.
Morag conclui: “A campanha PCPcat demonstra um ciclo completo de atividades — de escaneamento, exploração, persistência e tunelamento a roubo e monetização — feito sob medida para infraestruturas modernas em nuvem.
O que torna o TeamPCP perigoso não é a inovação técnica, mas sua integração operacional e escala.
A maioria dos seus exploits e malwares se baseia em vulnerabilidades conhecidas e ferramentas open source levemente modificadas.”
“Paralelamente, o grupo combina exploração da infraestrutura com roubo de dados e extorsão.
Bases de dados vazadas, registros de identidade e informações corporativas são divulgadas via ShellForce para impulsionar ransomware, fraudes e fortalecer sua reputação no submundo.
Esse modelo híbrido gera múltiplas fontes de receita e aumenta a resiliência contra tentativas de desmantelamento.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...