## TeamPCP Desata Wiper Dirigido a Irán Tras Ataques a la Cadena de Suministro Un grupo de robo de datos y extorsión con motivaciones financieras, **TeamPCP**, está intentando inyectarse en el conflicto iraní desplegando un gusano que se propaga a través de servicios en la nube mal asegurados. El gusano borra datos en los sistemas infectados que utilizan la zona horaria de Irán o tienen el farsi configurado como idioma predeterminado. Los expertos señalan que la campaña de borrado de datos contra Irán se materializó el pasado fin de semana. En diciembre de 2025, el grupo comenzó a comprometer entornos corporativos en la nube utilizando un gusano que se autopropaga y que apuntaba a APIs de Docker expuestas, clústeres de Kubernetes, servidores Redis y la vulnerabilidad React2Shell. Posteriormente, TeamPCP intentó moverse lateralmente a través de las redes de las víctimas, sustrayendo credenciales de autenticación y extorsionando a las víctimas a través de Telegram.  ## Plataforma de Explotación Nativa de la Nube En un perfil de TeamPCP publicado en enero, la firma de seguridad **Flare** afirmó que el grupo arma planos de control expuestos en lugar de explotar puntos finales, atacando predominantemente la infraestructura en la nube sobre los dispositivos de los usuarios finales. **Azure** (61%) y **AWS** (36%) representan el 97% de los servidores comprometidos. "La fortaleza de TeamPCP no proviene de exploits novedosos o malware original, sino de la automatización e integración a gran escala de técnicas de ataque bien conocidas", escribió **Assaf Morag** de **Flare**. "El grupo industrializa vulnerabilidades existentes, malas configuraciones y herramientas recicladas en una plataforma de explotación nativa de la nube que convierte la infraestructura expuesta en un ecosistema criminal que se autopropaga". ## Ataque a la Cadena de Suministro de Trivy El 19 de marzo, TeamPCP ejecutó un ataque a la cadena de suministro contra el escáner de vulnerabilidades **Trivy** de **Aqua Security**, inyectando malware para robar credenciales en lanzamientos oficiales en GitHub Actions. Aqua Security ha eliminado desde entonces los archivos maliciosos. La firma de seguridad **Wiz** señala que los atacantes pudieron publicar versiones maliciosas que sustrajeron claves SSH, credenciales de la nube, tokens de Kubernetes y billeteras de criptomonedas de los usuarios. ## CanisterWorm y la Conexión Iraní Durante el fin de semana, la misma infraestructura técnica que TeamPCP utilizó en el ataque a Trivy fue aprovechada para desplegar una nueva carga útil maliciosa que ejecuta un ataque de borrado de datos si se determina que la zona horaria y la configuración regional del usuario corresponden a Irán, dijo **Charlie Eriksen**, investigador de seguridad en **Aikido**. En una publicación de blog publicada el domingo, Eriksen afirmó que si el componente de borrado detecta que la víctima está en Irán y tiene acceso a un clúster de Kubernetes, borrará los datos de cada nodo en ese clúster. "Si no, simplemente borrará la máquina local", dijo Eriksen a KrebsOnSecurity.  Aikido se refiere a la infraestructura de TeamPCP como "**CanisterWorm**" porque el grupo orquesta sus campañas utilizando un canister de Internet Computer Protocol (ICP), un sistema de "contratos inteligentes" a prueba de manipulaciones y basado en blockchain que combina código y datos. Los canisters ICP pueden servir contenido web directamente a los visitantes, y su arquitectura distribuida los hace resistentes a los intentos de desmantelamiento. Estos canisters permanecerán accesibles siempre que sus operadores continúen pagando tarifas de moneda virtual para mantenerlos en línea. Eriksen dijo que las personas detrás de TeamPCP se jactan de sus exploits en un grupo de Telegram y afirman haber utilizado el gusano para robar grandes cantidades de datos sensibles de grandes empresas, incluida una importante firma farmacéutica multinacional. ## Problema de Malware en GitHub Expertos en seguridad dicen que los mensajes de spam en GitHub podrían ser una forma para que TeamPCP asegure que cualquier paquete de código contaminado con su malware permanezca destacado en las búsquedas de GitHub. En un boletín publicado hoy titulado *GitHub está Empezando a Tener un Problema Real de Malware*, el reportero de **Risky Business** **Catalin Cimpanu** escribe que a menudo se ve a los atacantes realizando commits sin sentido en sus repositorios o utilizando servicios en línea que venden estrellas y "me gusta" de GitHub para mantener los paquetes maliciosos en la parte superior de la página de búsqueda de GitHub. El brote de este fin de semana es el segundo ataque importante a la cadena de suministro que involucra a Trivy en dos meses. A finales de febrero, Trivy fue afectado como parte de una amenaza automatizada llamada HackerBot-Claw, que explotó masivamente flujos de trabajo mal configurados en GitHub Actions para robar tokens de autenticación. ## Compromiso de KICS Wiz informa que TeamPCP también introdujo malware para robar credenciales en el escáner de vulnerabilidades **KICS** de **Checkmarx**, y que la Acción de GitHub del escáner fue comprometida entre las 12:58 y las 16:50 UTC de hoy (23 de marzo). ## Conclusión Las recientes actividades de TeamPCP demuestran un panorama de amenazas en crecimiento, con la infraestructura en la nube y las cadenas de suministro convirtiéndose en objetivos cada vez más atractivos. Los profesionales de la seguridad deben priorizar la protección de sus entornos en la nube, implementar medidas sólidas de seguridad en la cadena de suministro y mantenerse vigilantes ante las amenazas emergentes.