**PCPJack** ist ein neuer Framework zum Diebstahl von Anmeldeinformationen, der speziell auf Cloud-Umgebungen abzielt und darauf ausgelegt ist, Anmeldeinformationen zu stehlen und Spuren der **TeamPCP**-Gruppe zu beseitigen. Laut einem Bericht von **SentinelOne** zielt der Framework auf Cloud-, Container-, Entwickler-, Produktivitäts- und Finanzdienstleistungen ab, exfiltriert Daten über vom Angreifer kontrollierte Infrastrukturen und versucht, sich auf weitere Hosts auszubreiten. ### PCPJack's Modus Operandi **PCPJack** ist darauf ausgelegt, Dienste wie Docker, Kubernetes, Redis, MongoDB und RayML sowie anfällige Webanwendungen anzugreifen. Dies ermöglicht es den Bedrohungsakteuren, sich wurmähnlich auszubreiten und sich lateral innerhalb kompromittierter Netzwerke zu bewegen. Das Hauptziel scheint die Generierung illegaler Einnahmen durch den Diebstahl von Anmeldeinformationen, Betrug, Spam, Erpressung oder den Weiterverkauf gestohlener Zugänge zu sein. ### Ähnlichkeiten und Unterschiede zu TeamPCP Diese Kampagne weist erhebliche Überschneidungen bei den Zielen mit **TeamPCP** auf, einer Gruppe, die für die Ausnutzung von Schwachstellen wie **React2Shell** und Fehlkonfigurationen in Cloud-Diensten für Datendiebstahl und andere Post-Exploitation-Aktivitäten bekannt ist. Im Gegensatz zu **TeamPCP** fehlt **PCPJack** jedoch eine Kryptowährungs-Mining-Komponente. Die Ähnlichkeiten deuten darauf hin, dass **PCPJack** das Werk eines ehemaligen **TeamPCP**-Mitglieds sein könnte, das mit den Taktiken der Gruppe vertraut ist. ### Angriffszyklus Der Angriff beginnt mit einem Bootstrap-Shell-Skript, das die Umgebung konfiguriert, die nächste Stufe der Tools herunterlädt und seine eigene Infrastruktur infiziert. Dieses Skript beendet und entfernt auch Prozesse oder Artefakte, die mit **TeamPCP** in Verbindung stehen, installiert Python, etabliert Persistenz, lädt sechs Python-Skripte herunter, startet das Orchestrierungsskript und entfernt sich dann selbst.  ### Python Payloads Die sechs von **PCPJack** verwendeten Python-Payloads sind: * **worm.py** (monitor.py): Der Hauptorchestrator, der Module startet, lokale Anmeldeinformationen stiehlt, das Toolset durch Ausnutzung bekannter Schwachstellen (**CVE-2025-55182**, **CVE-2025-29927**, **CVE-2026-1357**, **CVE-2025-9501** und **CVE-2025-48703**) verbreitet und Telegram für Command-and-Control (C2) verwendet. * **parser.py** (utils.py): Verarbeitet die Extraktion von Anmeldeinformationen, um gestohlene Schlüssel und Geheimnisse zu kategorisieren. * **lateral.py** (_lat.py): Ermöglicht die Erkundung, sammelt Geheimnisse und ermöglicht die laterale Bewegung über SSH, Kubernetes, Docker, Redis, RayML und MongoDB-Dienste. * **crypto_util.py** (_cu.py): Verschlüsselt Anmeldeinformationen vor der Exfiltration an den Telegram-Kanal des Angreifers. * **cloud_ranges.py** (_cr.py): Sammelt IP-Adressbereiche, die **Amazon Web Services (AWS)**, **Google Cloud**, **Microsoft Azure**, **Cloudflare**, **Cloudfront** und **Fastly** zugewiesen sind, und aktualisiert die Daten alle 24 Stunden. * **cloud_scan.py** (_csc.py): Führt Cloud-Port-Scans für die externe Verbreitung über Docker, Kubernetes, MongoDB, RayML oder Redis-Dienste durch. ### Verbreitung und Datenexfiltration Das Orchestrierungsskript zieht Verbreitungsziele direkt aus Common Crawl. Während der Datenexfiltration sammelt der **PCPJack**-Betreiber Metriken darüber, ob **TeamPCP** aus den Zielumgebungen verdrängt wurde, was auf einen direkten Fokus auf die Störung der Aktivitäten von **TeamPCP** hindeutet. ### Zusätzliche Infrastrukturanalyse Weitere Analysen ergaben ein Shell-Skript ("check.sh"), das die CPU-Architektur erkennt und die entsprechende **Sliver**-Binärdatei abruft. Es scannt auch Instance Metadata Service (IMDS)-Endpunkte, Kubernetes-Dienstkonten und Docker-Instanzen nach Anmeldeinformationen, die mit Anthropic, Digital Ocean, Discord, Google API, Grafana Cloud, HashiCorp Vault, OnePassword und OpenAI verbunden sind, und überträgt diese an einen externen Server. ### Einschätzung von SentinelOne **SentinelOne** schätzt, dass die beiden Toolsets trotz einiger Redundanzen gut entwickelt und modular sind. Die Kampagne entfernt bewusst Miner-Funktionen, die mit **TeamPCP** in Verbindung stehen, aber der Akteur hat immer noch klar definierte Bereiche für die Extraktion von Kryptowährungs-Anmeldeinformationen.