Gusano TeamPCP
Investigadores de ciberseguridad han descubierto una campaña masiva, impulsada por gusanos, que ataca sistemáticamente entornos nativos de la nube para construir infraestructura maliciosa y explotarla posteriormente. La actividad relacionada con esta operación se observó alrededor del 25 de diciembre de 2025, lo que revela un esfuerzo coordinado para abusar de los servicios y vulnerabilidades expuestas en las plataformas de nube modernas.
Tabla de contenido
TeamPCP: un grupo de amenazas que emerge rápidamente
La campaña se ha atribuido a un grupo de amenazas identificado como TeamPCP, también conocido por alias como DeadCatx3, PCPcat, PersyPCP y ShellForce. La evidencia sugiere que el grupo ha estado operativo desde al menos noviembre de 2025, con actividad relacionada en Telegram desde el 30 de julio de 2025. El canal de Telegram de TeamPCP, que ha crecido hasta contar con más de 700 miembros, se utiliza para publicar datos robados vinculados a víctimas en Canadá, Serbia, Corea del Sur, Emiratos Árabes Unidos y Estados Unidos.
Los investigadores documentaron por primera vez las operaciones del actor en diciembre de 2025 bajo la denominación Operación PCPcat.
Abuso oportunista de las debilidades nativas de la nube
TeamPCP opera como una plataforma de ciberdelincuencia nativa de la nube, aprovechando interfaces de administración expuestas, errores de configuración comunes y vulnerabilidades críticas, incluyendo la falla de React2Shell recientemente descubierta (CVE-2025-55182, CVSS 10.0). Las principales vías de infección observadas en la campaña incluyen:
API de Docker expuestas, API de Kubernetes, paneles de Ray, servidores Redis y aplicaciones React/Next.js vulnerables
Estas debilidades se explotan no para atacar industrias específicas, sino para apoderarse oportunistamente de la infraestructura, con mayor frecuencia en entornos de Amazon Web Services y Microsoft Azure, convirtiendo a las organizaciones afectadas en víctimas colaterales.
Explotación industrializada a escala
En lugar de recurrir a técnicas innovadoras, TeamPCP prioriza la escalabilidad y la automatización. La operación combina herramientas consolidadas, vulnerabilidades conocidas y errores de configuración ampliamente documentados para industrializar la explotación. Los entornos comprometidos se transforman en un ecosistema criminal autopropagante que facilita el escaneo, el movimiento lateral, la persistencia y la monetización.
Los objetivos generales incluyen la creación de una infraestructura distribuida de proxy y escaneo, la exfiltración de datos, la implementación de ransomware, la realización de campañas de extorsión y la minería de criptomonedas. Los activos comprometidos también se reutilizan para el alojamiento de datos, servicios de proxy y relés de comando y control.
Cargas útiles modulares y herramientas compatibles con la nube
Un acceso inicial exitoso permite la entrega de cargas útiles secundarias desde servidores externos, generalmente en formato shell o Python, diseñadas para ampliar el alcance de la campaña. Un componente central, proxy.sh, instala utilidades de proxy, peer-to-peer y tunelización, a la vez que implementa escáneres que exploran continuamente internet en busca de nuevos objetivos vulnerables.
Cabe destacar que proxy.sh realiza la identificación del entorno de ejecución para determinar si se ejecuta dentro de un clúster de Kubernetes. Cuando se detecta dicho entorno, el script sigue una ruta de ejecución independiente y despliega cargas útiles específicas del clúster, lo que subraya el enfoque personalizado del grupo para los objetivos nativos de la nube.
Un subconjunto de las cargas útiles de apoyo incluye:
- scanner.py, que descarga rangos CIDR desde una cuenta de GitHub asociada con DeadCatx3 para localizar API de Docker y paneles de Ray mal configurados, con minería de criptomonedas opcional a través de mine.sh
- kube.py, que se centra en la recopilación de credenciales de Kubernetes, el descubrimiento basado en API de pods y espacios de nombres, la propagación a través de pods accesibles y la persistencia a través de pods privilegiados montados en cada nodo
- react.py, que explota una vulnerabilidad de React (CVE-2025-29927) para lograr la ejecución remota de comandos a escala
- pcpcat.py, que escanea grandes rangos de IP en busca de API de Docker y paneles de Ray expuestos e implementa contenedores o trabajos maliciosos que ejecutan cargas útiles codificadas en Base64
Capacidades de mando y control y de post-explotación
Los investigadores han vinculado un nodo de comando y control en 67.217.57[.]240 a la operación, notando superposiciones con el uso de Sliver, un marco C2 legítimo de código abierto frecuentemente abusado por actores de amenazas durante las fases posteriores a la explotación.
Un modelo de monetización híbrido diseñado para la resiliencia
La campaña PCPcat demuestra un ciclo de ataque completo: escaneo, explotación, persistencia, tunelización, robo de datos y monetización, diseñado específicamente para la infraestructura en la nube. El principal peligro que plantea TeamPCP no reside en la innovación técnica, sino en la integración y la escalabilidad operativas. La mayoría de los exploits y el malware aprovechan vulnerabilidades conocidas y herramientas de código abierto ligeramente modificadas.
Al mismo tiempo, el grupo combina el abuso de infraestructura con el robo de datos y la extorsión. Bases de datos de CV, registros de identidad y datos corporativos filtrados se publican a través de ShellForce para impulsar operaciones de ransomware, fraude y la construcción de reputación dentro del ecosistema del cibercrimen. Esta estrategia de doble monetización, que se beneficia tanto de los recursos informáticos como de la información robada, proporciona múltiples fuentes de ingresos y aumenta la resiliencia ante interrupciones y desmantelamientos.
