## PCPJackによる隠密クラウドオペレーションが明らかに **PCPJack**として知られる脅威アクターは、**Amazon Web Services (AWS)**、**Google Cloud**、**Microsoft Azure**のクラウドサーバーを乗っ取り、大規模で隠密なSMTPメールリレーネットワークを構築する高度なキャンペーンを主導していました。この広範なインフラストラクチャは、米国、ヨーロッパ、アジアの侵害されたビジネスサーバーを静かにSMTPプロキシに変換し、メールリレー機能が検証された後、5分ごとに下流のコンシューマーと同期されていました。 脅威インテリジェンス企業である**Hunt.io**がこのオペレーションを発見し、発見時もインフラストラクチャは完全に稼働していたと指摘しています。「米国、ヨーロッパ、アジアの侵害されたビジネスサーバーは、静かにSMTPプロキシに変換され、メールリレー機能が検証された後、5分ごとに下流のコンシューマーと同期されていました」と**Hunt.io**は述べています。「発見時、インフラストラクチャはまだ稼働していました。」  ## 偶発的な発見：開かれたC2サーバーが戦術を露呈 **PCPJack**のキャンペーンの複雑な詳細は、重大な運用セキュリティ上のミスにより明らかになりました。脅威アクターは、コマンドアンドコントロール（C2）サーバー（213.136.80[.]73）に認証なしで2つのオープンディレクトリを残していました。この見落としにより、**Hunt.io**はソースコード、コンパイル済みバイナリ、デプロイメント状態ログ、インターネットスキャナー、エクスプロイトツール、およびライブの**Sliver**構成にアクセスすることができました。 **PCPJack**は2026年4月に初めて出現し、**SentinelOne**によって、特にクラウドサービスを標的とする認証情報窃盗フレームワークとして特定されました。注目すべきことに、**PCPJack**は、ソフトウェアサプライチェーン攻撃で知られる別の著名なハッキンググループである**TeamPCP**に関連するアーティファクトを削除する措置も講じており、これはライバル関係を示唆しているか、またはそのアイデンティティを隠蔽しようとする試みである可能性があります。 ## 使用ツール：Sliver、Chisel、カスタムスクリプト オープンディレクトリで発見されたファイルの中には、**Sliver**統合SMTPプロキシデプロイメントツールキットがありました。このツールキットには、AMD64、ARM64、x86などのさまざまなLinux CPUアーキテクチャ用にコンパイルされた**Chisel**トンネリングおよびプロキシバイナリが含まれていました。被害者マシンでは、バイナリは隠されたドットプレフィックスファイルとして静かにドロップされ、「/var/tmp/.xs」に永続化されます。 デプロイャースクリプトも発見されており、**Sliver** C2クライアント構成をロードし、Linuxビーコンをフィルタリングするように設計されていました。これらのビーコンは、C2サーバーに定期的に接続してチェックインし、コマンドを取得するインプラントです。 ## 高度なプロキシ管理 このオペレーションは、高度なプロキシ管理機能を示しています。「各ビーコンは、その**Sliver** UUIDのMD5ハッシュから決定論的に導出されたSOCKS5プロキシポートを受け取り、10000〜14999の範囲にマッピングされます」と**Hunt.io**は説明しています。「同じビーコンは、実行間で常に同じポートにマッピングされるため、共有ポートレジストリの必要がなくなります。」  デプロイャースクリプトの重要なコンポーネントは、SMTP「品質ゲート」です。このゲートは、`smtp.gmail[.]com:587`へのアウトバウンドアクセスをプローブします。このチェックに失敗したホストはスキップされます。サイバーセキュリティ企業によると、「メールをリレーできないホストは、このパイプラインには価値がありません」。ビーコンは50個のバッチで処理され、遅いチェックイン間隔に対応するために時間遅延が設けられています。 ## 進化する戦術と診断機能 デプロイャースクリプトの後期バージョンでは、SMTPゲートとバッチ処理ロジックが削除され、進化が見られます。さらに、診断スクリプトが存在し、5つのアクティブなビーコンを選択し、シェルコマンドを実行して以下を確認するようにタスクが割り当てられていました。 * 既知のドロップパスにある**Chisel**バイナリの存在 * **Chisel**プロセスがアクティブに実行されていること * 利用可能なディスク容量 * C2のポート9000への到達可能性 * cronエントリやsystemdサービスなどの永続化アーティファクトの存在  C2サーバーは、Pythonスクリプト`chisel_verifier.py`も永続的なバックグラウンドデーモンとして実行しています。このスクリプトは、60秒ごとに`ss -tlnp`を使用してアクティブな**Chisel**トンネルポートを列挙し、SMTP機能についてテストし、失敗またはドロップされたトンネルをアクティブプールから削除します。 ## プロキシのエンリッチメントと不明な動機 検証されたプロキシは、`api.ipify[.]org`や`ip-api[.]com`などのサービスを使用して、出口IPアドレス、国、および自律システム番号（**ASN**）データでさらにエンリッチされます。これらの洗練されたプロキシリストは、その後、**Secure Copy Protocol (SCP)**を介して5分ごとに別の下流サーバー（38.242.204[.]245）に同期されますが、このサーバーは現在アクセスできません。 この広範なオペレーションの最終的な目的は不明なままです。**Hunt.io**はこれを機会主義的なキャンペーンと説明し、「230ノードという結果は観測可能な結果です。この進行が単一のオペレーターの繰り返しを反映しているのか、それとも複数のアクターが同じインフラストラクチャを共有しているのかは、回収されたファイルからは判断できません。」と述べています。 具体的な意図にかかわらず、その影響は重大です。「検証されたプロキシリストは5分ごとにそのサーバーに同期されており、誰かがそれを消費しています。スパム、フィッシング、またはその他の目的であれ、大規模に配信するためのインフラストラクチャが明らかに稼働していました。」