**PCPJack** est un nouveau framework de vol d'identifiants ciblant spécifiquement les environnements cloud, conçu pour voler des identifiants et supprimer les traces du groupe **TeamPCP**. Selon un rapport de **SentinelOne**, le framework cible les services cloud, conteneurisés, de développement, de productivité et financiers, exfiltrant des données via une infrastructure contrôlée par l'attaquant et tentant de se propager à d'autres hôtes. ### Modus Operandi de PCPJack **PCPJack** est conçu pour cibler des services tels que Docker, Kubernetes, Redis, MongoDB et RayML, ainsi que des applications web vulnérables. Cela permet aux acteurs de la menace de se propager de manière similaire à un ver et de se déplacer latéralement au sein des réseaux compromis. L'objectif principal semble être de générer des revenus illicites par le vol d'identifiants, la fraude, le spam, l'extorsion ou la revente d'accès volés. ### Similitudes et Différences avec TeamPCP Cette campagne partage des chevauchements de ciblage significatifs avec **TeamPCP**, un groupe connu pour exploiter des vulnérabilités comme **React2Shell** et des mauvaises configurations dans les services cloud pour le vol de données et d'autres activités post-exploitation. Cependant, contrairement à **TeamPCP**, **PCPJack** ne dispose pas de composant de minage de cryptomonnaies. Les similitudes suggèrent que **PCPJack** pourrait être l'œuvre d'un ancien membre de **TeamPCP** familier avec les tactiques du groupe. ### Cycle de vie de l'attaque L'attaque commence par un script shell de démarrage qui configure l'environnement, télécharge les outils de l'étape suivante et infecte sa propre infrastructure. Ce script termine et supprime également les processus ou artefacts associés à **TeamPCP**, installe Python, établit la persistance, télécharge six scripts Python, lance le script d'orchestration, puis se supprime.  ### Payloads Python Les six payloads Python utilisés par **PCPJack** sont : * **worm.py** (monitor.py) : L'orchestrateur principal qui lance les modules, effectue le vol d'identifiants locaux, propage la boîte à outils en exploitant des failles connues (**CVE-2025-55182**, **CVE-2025-29927**, **CVE-2026-1357**, **CVE-2025-9501**, et **CVE-2025-48703**), et utilise Telegram pour le command-and-control (C2). * **parser.py** (utils.py) : Gère l'extraction des identifiants pour catégoriser les clés et secrets volés. * **lateral.py** (_lat.py) : Facilite la reconnaissance, récolte des secrets et permet le mouvement latéral à travers les services SSH, Kubernetes, Docker, Redis, RayML et MongoDB. * **crypto_util.py** (_cu.py) : Chiffre les identifiants avant leur exfiltration vers le canal Telegram de l'attaquant. * **cloud_ranges.py** (_cr.py) : Collecte les plages d'adresses IP attribuées à **Amazon Web Services (AWS)**, **Google Cloud**, **Microsoft Azure**, **Cloudflare**, **Cloudfront** et **Fastly**, actualisant les données toutes les 24 heures. * **cloud_scan.py** (_csc.py) : Effectue un scan de ports cloud pour la propagation externe via les services Docker, Kubernetes, MongoDB, RayML ou Redis. ### Propagation et Exfiltration de données Le script orchestrateur récupère les cibles de propagation directement de Common Crawl. Lors de l'exfiltration des données, l'opérateur **PCPJack** collecte des métriques sur l'éviction ou non de **TeamPCP** des environnements ciblés, indiquant un objectif direct de perturbation des activités de **TeamPCP**. ### Analyse supplémentaire de l'infrastructure Une analyse plus approfondie a révélé un script shell ("check.sh") qui détecte l'architecture du CPU et récupère le binaire **Sliver** approprié. Il scanne également les points d'accès Instance Metadata Service (IMDS), les comptes de service Kubernetes et les instances Docker à la recherche d'identifiants associés à Anthropic, Digital Ocean, Discord, Google API, Grafana Cloud, HashiCorp Vault, OnePassword et OpenAI, et les transmet à un serveur externe. ### Évaluation de SentinelOne **SentinelOne** estime que les deux ensembles d'outils sont bien développés et modulaires, malgré certaines redondances. La campagne supprime délibérément les fonctions de minage associées à **TeamPCP**, mais l'acteur a toujours des objectifs bien définis pour l'extraction d'identifiants de cryptomonnaies.