**PCPJack** é um novo framework de roubo de credenciais que tem como alvo específico ambientes em nuvem, projetado para roubar credenciais e remover rastros do grupo **TeamPCP**. De acordo com um relatório da **SentinelOne**, o framework visa serviços em nuvem, de contêineres, de desenvolvedor, de produtividade e financeiros, exfiltrando dados através de infraestrutura controlada pelo atacante e tentando se espalhar para hosts adicionais. ### Modus Operandi do PCPJack **PCPJack** foi projetado para atacar serviços como Docker, Kubernetes, Redis, MongoDB e RayML, além de aplicações web vulneráveis. Isso permite que os atores de ameaça se espalhem de forma semelhante a um worm e se movam lateralmente dentro de redes comprometidas. O objetivo principal parece ser gerar receita ilícita através de roubo de credenciais, fraude, spam, extorsão ou revenda de acesso roubado. ### Semelhanças e Diferenças com TeamPCP Esta campanha compartilha sobreposições significativas de alvo com o **TeamPCP**, um grupo conhecido por explorar vulnerabilidades como **React2Shell** e configurações incorretas em serviços em nuvem para roubo de dados e outras atividades pós-exploração. No entanto, ao contrário do **TeamPCP**, o **PCPJack** não possui um componente de mineração de criptomoedas. As semelhanças sugerem que o **PCPJack** pode ser obra de um ex-membro do **TeamPCP** familiarizado com as táticas do grupo. ### Ciclo de Ataque O ataque começa com um script shell de bootstrap que configura o ambiente, baixa ferramentas de próxima etapa e infecta sua própria infraestrutura. Este script também encerra e remove processos ou artefatos associados ao **TeamPCP**, instala Python, estabelece persistência, baixa seis scripts Python, inicia o script de orquestração e, em seguida, se remove.  ### Payloads Python Os seis payloads Python usados pelo **PCPJack** são: * **worm.py** (monitor.py): O orquestrador principal que inicia módulos, realiza roubo de credenciais local, propaga o conjunto de ferramentas explorando falhas conhecidas (**CVE-2025-55182**, **CVE-2025-29927**, **CVE-2026-1357**, **CVE-2025-9501** e **CVE-2025-48703**) e usa o Telegram para comando e controle (C2). * **parser.py** (utils.py): Lida com a extração de credenciais para categorizar chaves e segredos roubados. * **lateral.py** (_lat.py): Facilita a reconhecimento, coleta segredos e permite o movimento lateral através de serviços SSH, Kubernetes, Docker, Redis, RayML e MongoDB. * **crypto_util.py** (_cu.py): Criptografa credenciais antes da exfiltração para o canal Telegram do atacante. * **cloud_ranges.py** (_cr.py): Coleta faixas de endereços IP atribuídas a **Amazon Web Services (AWS)**, **Google Cloud**, **Microsoft Azure**, **Cloudflare**, **Cloudfront** e **Fastly**, atualizando os dados a cada 24 horas. * **cloud_scan.py** (_csc.py): Executa varredura de portas na nuvem para propagação externa via serviços Docker, Kubernetes, MongoDB, RayML ou Redis. ### Propagação e Exfiltração de Dados O script orquestrador busca alvos de propagação diretamente do Common Crawl. Durante a exfiltração de dados, o operador do **PCPJack** coleta métricas sobre se o **TeamPCP** foi removido de ambientes visados, indicando um foco direto em interromper as atividades do **TeamPCP**. ### Análise Adicional da Infraestrutura Análises adicionais revelaram um script shell ("check.sh") que detecta a arquitetura da CPU e busca o binário **Sliver** apropriado. Ele também escaneia endpoints do Serviço de Metadados de Instância (IMDS), contas de serviço do Kubernetes e instâncias Docker em busca de credenciais associadas a Anthropic, Digital Ocean, Discord, Google API, Grafana Cloud, HashiCorp Vault, OnePassword e OpenAI, e as transmite para um servidor externo. ### Avaliação da SentinelOne A **SentinelOne** avalia que os dois conjuntos de ferramentas são bem desenvolvidos e modulares, apesar de algumas redundâncias. A campanha remove deliberadamente funções de mineração associadas ao **TeamPCP**, mas o ator ainda tem escopos bem definidos para extrair credenciais de criptomoedas.