Los investigadores de ciberseguridad han llamado la atención sobre una «campaña masiva» que se ha dirigido sistemáticamente a los entornos nativos de la nube para configurar una infraestructura maliciosa para su posterior explotación.

La actividad, que se observó alrededor del 25 de diciembre de 2025 y se describió como «impulsada por gusanos», aprovechó las API de Docker, los clústeres de Kubernetes, los paneles de Ray y los servidores Redis expuestos, junto con la recientemente divulgada React 2 Shell Vulnerabilidad (CVE-2025-55182, puntuación CVSS: 10,0). La campaña se ha atribuido a un grupo de amenazas conocido como Equipo PCP (también conocido como DeadCatx3, PCPCat, PersyPCP y ShellForce).

Se sabe que TeamPCP está activo al menos desde noviembre de 2025, y la primera instancia de actividad de Telegram se remonta al 30 de julio de 2025. El canal de Telegram de TeamPCP cuenta actualmente con más de 700 miembros, donde el grupo publica datos robados de diversas víctimas en Canadá, Serbia, Corea del Sur, los Emiratos Árabes Unidos y los EE. UU. Los detalles del autor de la amenaza son primera documentación de Belcebú en diciembre de 2025 con el nombre de Operación PCPCat.

«Los objetivos de la operación eran construir un proxy distribuido y una infraestructura de escaneo a escala, y luego comprometer los servidores para filtrar datos, implementar ransomware, realizar extorsiones y extraer criptomonedas», dijo Assaf Morag, investigador de seguridad de Flare dijo en un informe publicado la semana pasada.

adsense

Se dice que TeamPCP funciona como una plataforma de ciberdelincuencia nativa de la nube, que aprovecha las API de Docker, las API de Kubernetes, los paneles de Ray, los servidores Redis y las aplicaciones vulnerables de React/Next.js mal configuradas como principales vías de infección para violar la infraestructura de nube moderna y facilitar el robo de datos y la extorsión.

Además, la infraestructura comprometida se utiliza indebidamente para una amplia gama de otros propósitos, que van desde la minería de criptomonedas y el alojamiento de datos hasta los retransmisores proxy y de comando y control (C2).

En lugar de emplear cualquier técnica novedosa, TeamPCP se apoya en técnicas de ataque probadas y comprobadas, como las herramientas existentes, las vulnerabilidades conocidas y los errores de configuración prevalentes, para crear una plataforma de explotación que automatice e industrialice todo el proceso. Esto, a su vez, transforma la infraestructura expuesta en un «ecosistema delictivo que se autopropaga», señaló Flare.

La explotación exitosa allana el camino para el despliegue de cargas útiles de próxima etapa desde servidores externos, incluidos los scripts basados en shell y Python que buscan nuevos objetivos para una mayor expansión. Uno de los componentes principales es "proxy.sh», que instala utilidades de proxy, peer-to-peer (P2P) y de tunelización, y ofrece varios escáneres para buscar continuamente en Internet servidores vulnerables y mal configurados.

«Cabe destacar que proxy.sh realiza la toma de huellas digitales del entorno en el momento de la ejecución», afirma Morag. «Al principio de su ejecución, comprueba si se está ejecutando dentro de un clúster de Kubernetes».

«Si se detecta un entorno de Kubernetes, el script se bifurca en una ruta de ejecución independiente y elimina una carga útil secundaria específica del clúster, lo que indica que TeamPCP mantiene herramientas y técnicas distintas para los objetivos nativos de la nube, en lugar de depender únicamente del malware genérico de Linux».

Una breve descripción de las demás cargas útiles es la siguiente:

  • scanner.py, que está diseñado para detectar paneles Ray y API de Docker mal configurados mediante la descarga de listas de enrutamiento entre dominios sin clases (CIDR) de una cuenta de GitHub llamada» Deadcat x3 », además de ofrecer opciones para ejecutar un minero de criptomonedas (» mine.sh «).
  • kube.py, que incluye funciones específicas de Kubernetes para recopilar credenciales de clústeres y descubrir recursos, como pods y espacios de nombres, mediante API, y, a continuación, colocar "proxy.sh» en pods accesibles para una propagación más amplia y configurar un backdoor persistente mediante la implementación de un pod privilegiado en cada nodo que monte el host.
  • react.py, que está diseñado para aprovechar la falla de React (CVE-2025-29927) para lograr la ejecución remota de comandos a escala.
  • pcpcat.py, que está diseñado para descubrir las API de Docker y los paneles Ray expuestos en grandes rangos de direcciones IP e implementar automáticamente un contenedor o trabajo malintencionado que ejecute una carga útil codificada en Base64.

Flare dijo que el nodo del servidor C2 ubicado en 67.217.57 [.] 240 también se ha vinculado a la operación de Astilla , un marco C2 de código abierto del que se sabe que los actores de amenazas abusan de él con fines posteriores a la explotación.

enlaces

Los datos de la empresa de ciberseguridad muestran que los actores de amenazas se centran principalmente en los entornos de Amazon Web Services (AWS) y Microsoft Azure. Se considera que los ataques son de naturaleza oportunista y se dirigen principalmente a la infraestructura que respalda sus objetivos, en lugar de atacar a sectores específicos. El resultado es que las organizaciones que administran dicha infraestructura se convierten en «víctimas colaterales» en el proceso.

«La campaña PCPCat demuestra un ciclo de vida completo de escaneo, explotación, persistencia, tunelización, robo de datos y monetización creado específicamente para la infraestructura de nube moderna», dijo Morag. «Lo que hace que TeamPCP sea peligroso no es la novedad técnica, sino su integración operativa y su escala. Un análisis más profundo muestra que la mayoría de sus exploits y malware se basan en vulnerabilidades conocidas y en herramientas de código abierto ligeramente modificadas».

«Al mismo tiempo, TeamPCP combina la explotación de la infraestructura con el robo de datos y la extorsión. Las bases de datos de currículos, registros de identidad y datos corporativos filtrados se publican a través de ShellForce para fomentar la reputación del ransomware, el fraude y la ciberdelincuencia. Este modelo híbrido permite al grupo monetizar tanto la computación como la información, lo que le brinda múltiples fuentes de ingresos y resistencia frente a las eliminaciones».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.