Los investigadores de ciberseguridad han llamado la atención sobre una “campaña masiva” que se ha dirigido sistemáticamente a entornos nativos de la montón para configurar infraestructura maliciosa para su posterior explotación.
La actividad, observada aproximadamente del 25 de diciembre de 2025 y descrita como “impulsada por gusanos”, aprovechó las API de Docker expuestas, los clústeres de Kubernetes, los paneles de Ray y los servidores Redis, pegado con la vulnerabilidad React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) recientemente revelada. La campaña se ha atribuido a un género de amenazas conocido como EquipoPCP (además conocido como DeadCatx3, PCPcat, PersyPCP y ShellForce).
Se sabe que TeamPCP está activo desde al menos noviembre de 2025, y la primera instancia de actividad en Telegram se remonta al 30 de julio de 2025. El canal TeamPCP Telegram tiene actualmente más de 700 miembros, donde el género publica datos robados de diversas víctimas en Canadá, Serbia, Corea del Sur, los Emiratos Árabes Unidos y los EE. UU. Beelzebub documentó por primera vez los detalles del actor de amenazas en diciembre de 2025 bajo el nombre Operación PCPcat.
“Los objetivos de la operación eran construir un proxy distribuido y una infraestructura de escaneo a escalera, luego comprometer los servidores para exfiltrar datos, implementar ransomware, realizar trastorno y extraer criptomonedas”, dijo el investigador de seguridad de Flare, Assaf Morag, en un noticia publicado la semana pasada.
Se dice que TeamPCP funciona como una plataforma de cibercrimen nativa de la montón, aprovechando las API de Docker mal configuradas, las API de Kubernetes, los paneles de Ray, los servidores Redis y las aplicaciones vulnerables React/Next.js como principales vías de infección para violar la infraestructura moderna de la montón y entregar el robo de datos y la trastorno.
Por otra parte, la infraestructura comprometida se utiliza indebidamente para una amplia grado de otros fines, que van desde la minería de criptomonedas y el alojamiento de datos hasta los relés proxy y de comando y control (C2).
En área de invertir cualquier técnica novedosa, TeamPCP se apoya en técnicas de ataque probadas, como herramientas existentes, vulnerabilidades conocidas y configuraciones erróneas frecuentes, para construir una plataforma de explotación que automatice e industrialice todo el proceso. Esto, a su vez, transforma la infraestructura expuesta en un “ecosistema criminal que se propaga a sí mismo”, señaló Flare.
La explotación exitosa allana el camino para la implementación de cargas efectos de la posterior etapa desde servidores externos, incluidos scripts basados en Shell y Python que buscan nuevos objetivos para una decano expansión. Uno de los componentes principales es “proxy.sh”, que instala utilidades de proxy, peer-to-peer (P2P) y de tunelización, y ofrece varios escáneres para despabilarse continuamente en Internet servidores vulnerables y mal configurados.
“En particular, proxy.sh realiza la toma de huellas digitales del entorno en el momento de la ejecución”, dijo Morag. “Al principio de su tiempo de ejecución, comprueba si se está ejecutando internamente de un clúster de Kubernetes”.
“Si se detecta un entorno Kubernetes, el script se bifurca en una ruta de ejecución separada y suelta una carga útil secundaria específica del clúster, lo que indica que TeamPCP mantiene herramientas y técnicas distintas para objetivos nativos de la montón en área de reconocer solamente del malware genérico de Linux”.
Una breve descripción de las otras cargas efectos es la posterior:
- scanner.py, que está diseñado para encontrar API de Docker y paneles de Ray mal configurados descargando listas de enrutamiento entre dominios sin clase (CIDR) desde una cuenta de GitHub convocatoria “DeadCatx3”, al mismo tiempo que presenta opciones para ejecutar un minero de criptomonedas (“mine.sh”).
- kube.py, que incluye una funcionalidad específica de Kubernetes para realizar la monasterio de credenciales de clúster y el descubrimiento de bienes basado en API, como pods y espacios de nombres, seguido de colocar “proxy.sh” en pods accesibles para una propagación más amplia y configurar una puerta trasera persistente mediante la implementación de un pod privilegiado en cada nodo que monta el host.
- react.py, que está diseñado para explotar la descompostura de React (CVE-2025-29927) para alcanzar la ejecución remota de comandos a escalera.
- pcpcat.py, que está diseñado para descubrir API de Docker y paneles de Ray expuestos en grandes rangos de direcciones IP e implementar automáticamente un contenedor o trabajo ladino que ejecuta una carga útil codificada en Base64.
Flare dijo que el nodo del servidor C2 situado en 67.217.57(.)240 además se ha vinculado a la operación de Sliver, un entorno C2 de código descubierto del que se sabe que los actores de amenazas abusan con fines posteriores a la explotación.
Los datos de la empresa de ciberseguridad muestran que los actores de amenazas destacan principalmente los entornos Amazon Web Services (AWS) y Microsoft Azure. Se considera que los ataques son de naturaleza oportunista y se dirigen principalmente a la infraestructura que respalda sus objetivos en área de atacar industrias específicas. El resultado es que las organizaciones que administran dicha infraestructura se convierten en “víctimas colaterales” en el proceso.
“La campaña PCPcat demuestra un ciclo de vida completo de escaneo, explotación, persistencia, túneles, robo de datos y monetización creado específicamente para la infraestructura de montón moderna”, dijo Morag. “Lo que hace que TeamPCP sea peligroso no es la novedad técnica, sino su integración y escalera operativa. Un exploración más profundo muestra que la mayoría de sus exploits y malware se basan en vulnerabilidades admisiblemente conocidas y herramientas de código descubierto levemente modificadas”.
“Al mismo tiempo, TeamPCP combina la explotación de la infraestructura con el robo de datos y la trastorno. Las bases de datos de CV, los registros de identidad y los datos corporativos filtrados se publican a través de ShellForce para impulsar el ransomware, el fraude y la creación de reputación de delitos cibernéticos. Este maniquí híbrido permite al género monetizar tanto la computación como la información, lo que le brinda múltiples fuentes de ingresos y resiliencia contra las eliminaciones”.
