### Detalles de la Brecha La Comisión Europea reconoció públicamente la brecha de datos el 27 de marzo, tras consultas de BleepingComputer. El incidente provino de un compromiso del entorno en la nube de Amazon Web Services (AWS) de la Comisión. CERT-EU fue notificado de la intrusión el 24 de marzo, cinco días después de la brecha inicial, lo que resalta un retraso en la detección de la actividad maliciosa. ### Vector de Ataque: Credenciales de AWS Robadas El 19 de marzo, TeamPCP explotó una clave API de AWS comprometida, otorgándoles derechos de administración sobre otras cuentas de AWS de la Comisión Europea. La clave API fue robada durante el ataque a la cadena de suministro de Trivy. Los atacantes luego usaron TruffleHog, una herramienta diseñada para escanear y validar credenciales en la nube, para descubrir secretos adicionales. Para evadir la detección, adjuntaron una clave de acceso recién creada a una cuenta de usuario existente antes de proceder con la reconocimiento y el robo de datos. ### Modus Operandi de TeamPCP TeamPCP tiene un historial de orquestar ataques a la cadena de suministro dirigidos a plataformas de código para desarrolladores como GitHub, PyPi, NPM y Docker. El grupo también estuvo detrás del compromiso del paquete LiteLLM PyPI, desplegando el malware "TeamPCP Cloud Stealer" que roba información y afectó a decenas de miles de dispositivos. ### Fuga de Datos e Impacto El 28 de marzo, el grupo de extorsión de datos ShinyHunters publicó los datos robados en su sitio de filtraciones en la dark web. El archivo, con un total de 90 GB (340 GB sin comprimir), contenía nombres, direcciones de correo electrónico y contenido de correos electrónicos. El análisis de CERT-EU confirmó el robo de decenas de miles de archivos que contenían información personal, nombres de usuario y contenido de correos electrónicos. La brecha afecta potencialmente a 42 clientes internos de la Comisión Europea y al menos a otras 29 entidades de la Unión que utilizan el servicio de alojamiento web europa.eu.  "El actor de amenazas utilizó el secreto de AWS comprometido para exfiltrar datos del entorno en la nube afectado. Los datos exfiltrados se relacionan con sitios web alojados para hasta 71 clientes del servicio de alojamiento web Europa: 42 clientes internos de la Comisión Europea y al menos otras 29 entidades de la Unión", declaró CERT-EU. El conjunto de datos filtrado incluye datos personales como nombres, nombres de usuario y direcciones de correo electrónico, predominantemente de los sitios web de la Comisión Europea, pero potencialmente pertenecientes a usuarios de múltiples entidades de la Unión. También contiene al menos 51,992 archivos relacionados con comunicaciones por correo electrónico salientes, con un total de 2.22 GB. Si bien la mayoría son notificaciones automatizadas, las notificaciones de "rebote" pueden contener contenido enviado por el usuario, lo que representa un riesgo de exposición de datos personales. CERT-EU confirmó que ningún sitio web fue deshabilitado o manipulado, y no se detectó movimiento lateral a otras cuentas de AWS de la Comisión. La Comisión Europea ha notificado a las autoridades de protección de datos pertinentes y está en comunicación directa con las entidades afectadas. El análisis de los datos exfiltrados está en curso y se espera que lleve una cantidad considerable de tiempo. Este incidente sigue a una brecha de datos anterior revelada por la Comisión Europea en febrero, que involucró una plataforma de gestión de dispositivos móviles comprometida utilizada para administrar los dispositivos del personal.