TeamPCP: napredni napadi na infrastrukturu u oblaku

AUTOR ·

TeamPCP grupa nalazi se u fokusu sigurnosnih istraživača kompanije Flare, koji ukazuju na složenost napadnih vektora zasnovanih na oblaku. Sve je očiglednije da je ova zlonamjerna grupa usavršila vještinu iskorištavanja pogrešno podešene infrastrukture u oblaku — uključujući Docker, Kubernetes i Redis servise — kako bi uspostavila uporište u ugroženim okruženjima.

TeamPCP

TeamPCP: napredni napadi na infrastrukturu u oblaku; Source: Microsoft Copilot: Your AI companion

TEAMPCP KAMPANJA

TeamPCP je zlonamjerna grupa, poznata i pod nazivima PCPcat, ShellForce i DeadCatx3, koja od kraja 2025. godine predstavlja ozbiljnu bezbjednosnu prijetnju. Njeno djelovanje usmjereno je na izložene kontrolne ravni okruženja u oblaku, a ne na tradicionalni zlonamjerni softver za krajnje tačke. Ovakav pristup pokazuje kako se priroda sajber prijetnji mijenja, jer zlonamjerni akteri sve češće koriste pogrešno podešenu infrastrukturu da bi ostvarili neovlašten pristup.

Sigurnosni istraživači primijetili su da kampanja grupe TeamPCP cilja različite sisteme i aplikacije zasnovane na oblaku. Za razliku od klasičnih napada zlonamjernim softverom, ova grupa se oslanja na iskorištavanje slabih podešavanja umjesto na ranjivosti nultog dana. Takva taktika omogućava zlonamjernim akterima da ostvare početni pristup bez oslanjanja na ranije nepoznate propuste, što otkrivanje i ublažavanje napada čini znatno složenijim.

Kampanja je dostigla vrhunac oko 25. decembra 2025. godine, kada su stotine ugroženih servera pokretale kontejnere pod kontrolom zlonamjernog aktera. Sama razmjera operacije ukazuje na ozbiljan uticaj na bezbjednosni položaj pogođenih organizacija.

 

Ciljanje

TeamPCP grupa cilja izložena Docker API okruženja, Kubernetes skupove, Ray kontrolne table, Redis servere i aplikacije ranjive na React2Shell (CVE-2025-29927). Ove ranjivosti najčešće nastaju zbog pogrešno podešene infrastrukture ili nedovoljno stroge kontrole pristupa, a njihovo iskorištavanje omogućava zlonamjernim akterima da steknu neovlašten pristup osjetljivim podacima i resursima.

Docker API okruženja su posebno na meti zbog široke primjene u različitim industrijama. Pogrešna podešavanja u tim sistemima mogu dovesti do nesigurnog pokretanja kontejnera, što zlonamjernim akterima otvara mogućnost izvršavanja zlonamjernog kôda unutar ugroženog sistema.

Slično tome, propusti u Kubernetes skupovima omogućavaju preuzimanje kontrole nad ključnom infrastrukturom i izvršavanje proizvoljnih naredbi na čvorovima skupa. Ray kontrolne table su ranjive zbog svoje izloženosti u okruženjima oblaka, gdje nedovoljna kontrola pristupa može dovesti do neovlaštenog upravljanja podacima i ometanja rada sistema.

Redis serveri predstavljaju još jednu značajnu metu, jer njihova ranjivost omogućava zlonamjernim akterima da preuzmu kontrolu nad osjetljivim podacima pohranjenim na ugroženim serverima. Na kraju, aplikacije ranjive na React2Shell (CVE-2025-29927) mogu biti iskorištene kroz različite napadne puteve, uključujući napade putem mrežnog okruženja i bočno kretanje kroz mreže.

Posebno je značajno što se većina ovih aktivnosti odvija u javnim oblacima. Najčešće su pogođene platforme Azure i AWS, koje zajedno čine gotovo sve zabilježene slučajeve. Ovakav izbor nije slučajan – javni oblaci nude veliku dostupnost i prilagodljivost, što olakšava i legitimnim korisnicima i zlonamjernim akterima da brzo prošire svoje operacije. TeamPCP grupa je pokazala da posjeduje znanje za iskorištavanje ranjivosti u ovim okruženjima, pri čemu je Azure najčešća meta.

Ovakva usmjerenost na servise u oblaku pokazuje da grupa ne cilja samo lične uređaje ili tradicionalne mreže, već aktivno traži propuste u radnim okruženjima koja su izložena internetu. Time se potvrđuje promjena u prijetnjama – od lokalnih sistema ka globalnim okruženjima u oblaku.

 

Funkcionisanje

Osnovu djelovanja grupe TeamPCP čini skripta proxy.sh, koja automatizuje instalaciju alata za tuneliranje, pokretanje skenera i prilagođavanje napada različitim okruženjima. Njena uloga je da uspostavi trajnu vezu između servera zlonamjernih aktera i inficiranih sistema, ali i da omogući širenje na nove ciljeve. Kada se nađe u oblaku ili kontejnerskom sistemu, proxy.sh prepoznaje okruženje i pokreće dodatne module prilagođene tom prostoru.

U okruženju zasnovanom na Kubernetes aktivira se kube.py, koji popisuje resurse, prikuplja pristupne podatke i širi se kroz dostupne jedinice u okviru sistema. Na taj način zlonamjerni akteri obezbjeđuju dugotrajnu kontrolu nad cijelim okruženjem, jer kube.py postavlja privilegovane procese koji omogućavaju pristup svim komponentama i trajno prisustvo u sistemu. Čak i kada se dio zlonamjernog softvera ukloni, kontrola nad okruženjem ostaje.

React.py se koristi za iskorištavanje ranjivosti u aplikacijama zasnovanim na Next.js. Ovaj modul omogućava daljinsko izvršavanje naredbi i izvlačenje osjetljivih podataka poput ključeva, tokena i lozinki. Tako prikupljene informacije služe za dalja prodiranja u druge sisteme ili za prodaju na crnom tržištu. React.py ne ostaje samo na inicijalnom napadu, već postavlja dodatne programe radi trajnog prisustva.

Za širenje napada na široke mrežne opsege koristi se pcpcat.py, skener koji pretražuje velike blokove IP adresa u potrazi za otvorenim servisima poput Docker ili Ray API okruženja. Kada pronađe ranjiv sistem, automatski postavlja proxy.sh i pretvara ga u novu tačku za dalja skeniranja i napade. Ovaj proces stvara lančanu reakciju u kojoj svaka inficirani sistem postaje novi izvor širenja.

Uz sve ove mehanizme, TeamPCP na inficiranim sistemima pokreće i XMRig rudare za kriptovalute. Oni su često prikriveni višestrukim kôdiranjem i kompresijom, što otežava njihovo otkrivanje. Na taj način inficirani sistemi istovremeno služe za finansijsku dobit i kao dio distribuirane mreže namijenjene daljem iskorištavanju.

U cjelini, kampanja TeamPCP zasniva se na kombinaciji automatizovanih skripti, prilagođenih modula i iskorištavanja slabih tačaka u oblaku i aplikacijama. Ovakav pristup omogućava zlonamjernim akterima da se šire lančano kroz različita okruženja, da uspostave dugotrajnu kontrolu i da istovremeno ostvaruju materijalnu korist. Rezultat je mreža inficiranih sistema koja se stalno širi i održava bez potrebe za stalnim učešćem ljudskih operatera.

 

Hibridni profit

Hibridni profit označava praksu ostvarivanja prihoda iz više izvora unutar jedne operacije ili platforme. Grupa TeamPCP predstavlja dobar primjer ovakvog pristupa, jer koristi ugrožene servere ne samo za krađu podataka i ucjene, već i za niz drugih aktivnosti koje donose zaradu. Njihova infrastruktura istovremeno služi kao čvorovi za rudarenje digitalnih valuta, mreža za prikrivanje tragova, sistemi za skeniranje ranjivosti, kao i baze za krađu podataka i širenje zlonamjernih softvera.

Rudarenje kriptovaluta je jedan od načina na koji ova grupa koristi preuzete resurse. Računarska snaga otetih servera usmjerava se na rješavanje složenih matematičkih zadataka, čime se potvrđuju transakcije i stiču nagrade u digitalnim valutama. Iako je proces energetski zahtjevan, donosi značajnu zaradu, jer se dobijene valute mogu prodati na mrežnim tržištima. Paralelno s tim, mreža posredničkih servera omogućava prikrivanje stvarnih adresa i otežava praćenje njihovih aktivnosti, dok komandni releji održavaju vezu između ugroženih sistema i operatera.

Skeniranje interneta predstavlja još jedan izvor prihoda. Ova infrastruktura koristi se za otkrivanje slabih tačaka u mrežama i sistemima, a prikupljene informacije dalje se prodaju ili koriste za nove napade. Pored toga, serveri za privremeno skladištenje ukradenih podataka omogućavaju prodaju osjetljivih informacija na mrežnim pijacama ili njihovu upotrebu u napadima usmjerenim na pojedince i organizacije. Na taj način ugrožena infrastruktura postaje višeslojni alat za različite oblike zarade.

 

Neovlašteno otkrivanje i krađa podataka

U januaru 2026. godine grupa TeamPCP je izazvala značajan bezbjednosni incident objavljivanjem više od 2,3 miliona zapisa kandidata za posao sa vijetnamske platforme JobsGO. Objavljeni podaci obuhvatali su imena, datume rođenja, radne biografije i kontakt detalje pogođenih osoba.

Ovaj događaj pokazuje sposobnost grupe TeamPCP da ugrozi osjetljive informacije koje čuvaju organizacije, a zatim ih prodaje na mračnom internetu ili koristi u zlonamjerne svrhe. Ciljajući infrastrukturu zasnovanu na oblaku, gdje se čuvaju lični zapisi, oni stiču pristup vrijednim podacima koji su često nedovoljno zaštićeni zbog slabih bezbjednosnih mjera.

Ugroženi podaci obično se prodaju u velikim količinama na internetu, dok se pojedini zapisi koriste direktno za ciljane napade preko elektronskih poruka (eng. spear-phishing) ili operacije krađe identiteta. Ovakav pristup omogućava grupi TeamPCP da poveća zaradu uz smanjen rizik u poređenju s individualnim ciljanjem.

Sa aktivnostima grupe povezuju se i druge vrste ukradenih baza podataka, uključujući lične identifikacione podatke, biografije, radne dosijee i poslovne informacije koje se mogu koristiti za ciljane napade ili krađu identiteta. Objavljivanje osjetljivih informacija u januaru 2026. godine predstavlja ozbiljno upozorenje na rizike povezane sa nedovoljno sigurnom infrastrukturom zasnovanom na oblaku, koja čuva lične podatke.

 

Automatizacija i obim

Snaga grupe TeamPCP ne leži u inovaciji, već u automatizaciji i obimu, jer koristi izmijenjene projekte otvorenog kôda kako bi olakšala svoje operacije. Prilagođavanjem postojećih alata i njihovim usmjeravanjem prema sopstvenim potrebama, grupa održava visok nivo efikasnosti uz male troškove razvoja.

Upotreba izmijenjenih projekata otvorenog kôda omogućava grupi TeamPCP da se osloni na već uspostavljene programske osnove koje je provjerila šira zajednica programera. Na taj način grade na provjerenim rješenjima, umjesto da ulažu vrijeme i resurse u razvoj potpuno novih alata od početka.

Automatizacija ima ključnu ulogu u olakšavanju operacija grupe TeamPCP, jer pojednostavljuje procese i smanjuje potrebu za ručnim uplitanjem u svaki zadatak. Automatizovanjem aktivnosti poput iznošenja podataka ili rudarenja kriptovaluta, grupa održava visok nivo produktivnosti uz smanjen rizik od ljudske greške.

Fokus na obim, a ne na inovaciju, odražava i poslovni model grupe TeamPCP, koji daje prednost masovnom djelovanju nad individualnim pristupom. Ciljajući veliki broj žrtava i ugrožavajući više servera istovremeno, ona stvara značajne prihode bez potrebe za opsežnim prilagođavanjem svakom pojedinačnom cilju.

 

UTICAJ

Uticaj djelovanja grupe TeamPCP ogleda se u masovnom iskorištavanju ranjivosti u oblaku. Kada se infrastruktura oslanja na javne servise poput Azure ili AWS, svaka pogrešna postavka otvara prostor za preuzimanje resursa. Time veliki broj organizacija može izgubiti kontrolu nad sopstvenim sistemima, što dovodi do narušavanja povjerenja u sigurnost oblaka kao poslovnog oslonca.

Prisustvo zlonamjernih aktera u okruženjima zasnovanim na oblaku omogućava dugotrajni nadzor i pristup podacima. Automatizovane skripte i moduli olakšavaju korištenje osjetljivih informacija mimo kontrole vlasnika, pa poslovni tokovi postaju izloženi riziku prekida, dok organizacije ostaju ranjive na gubitak podataka i resursa.

Finansijski aspekt ovakvih napada posebno je složen. Infrastruktura pod kontrolom zlonamjernih aktera može biti iskorištena za rudarenje digitalnih valuta, čime se njima stvara prihod, dok troškovi energije i održavanja padaju na legitimne vlasnike. Takvi sistemi istovremeno služe kao čvorovi za prikrivanje tragova i širenje napada, što povećava obim štete i otežava otkrivanje.

Društveni uticaj se vidi kroz izlaganje osjetljivih podataka, poput ličnih informacija, koje se dalje koriste u prevarama ili krađi identiteta. Kada se baze objave ili prodaju, pojedinci postaju direktno ugroženi, a organizacije gube povjerenje javnosti. Napadi na infrastrukturu u oblaku tako prelaze tehnički nivo i zadiru u privatnost i sigurnost građana.

Obim i automatizacija djelovanja grupe pokazuju da prijetnje mogu zahvatiti veliki broj sistema istovremeno. Uticaj se zato ne svodi na pojedinačne incidente, već se posmatra kao dugotrajno narušavanje povjerenja u globalne servise zasnovane na oblaku.

 

ZAKLJUČAK

Snaga djelovanja grupe TeamPCP zasniva se na obimu i prilagođavanju postojećih rješenja, a ne na razvoju novih. Korištenjem izmijenjenih projekata otvorenog kôda postižu visoku efikasnost uz male troškove, što pokazuje da prijetnje ne moraju biti zasnovane na inovaciji da bi bile ozbiljne. Ovakav pristup omogućava brzo širenje operacija i njihovo održavanje bez velikog ulaganja.

Automatizacija ima ključnu ulogu u njihovom djelovanju. Procesi koji bi inače zahtijevali stalno uplitanje čovjeka pretvoreni su u zadatke koje obavljaju skripte i moduli. Time se smanjuje mogućnost greške i povećava obim rada, dok se istovremeno održava stalna aktivnost u različitim okruženjima. Takva praksa pokazuje da prijetnje postaju sistematične i samoodržive.

Obim djelovanja grupe ukazuje na promjenu u načinu oblikovanja prijetnji. Umjesto da se fokusiraju na pojedinačne ciljeve, zahvataju veliki broj sistema istovremeno. Takav pristup stvara mrežu koja se širi lančano, gdje svaka nova tačka postaje izvor daljih aktivnosti. Time se postiže stalno prisustvo koje ne zavisi od pojedinačnih napada.

Prilagođavanje postojećih alata sopstvenim potrebama pokazuje da prijetnje mogu nastati iz onoga što je već dostupno široj zajednici. Kada se takvi alati izmijene i usmjere ka zlonamjernim ciljevima, oni postaju osnova za masovno djelovanje. Snaga prijetnji tako leži u načinu upotrebe, a ne nužno u novim otkrićima.

Na kraju, djelovanje grupe TeamPCP pokazuje da prijetnje u digitalnom prostoru ne moraju biti složene da bi bile ozbiljne. Njihova sposobnost da koriste jednostavne mehanizme na širokom obimu ukazuje na to da prijetnje postaju dio šireg procesa, gdje se granice između pojedinačnih incidenata brišu i oblikuje nova dinamika u digitalnom okruženju.

 

PREPORUKE

Zaštita od napada TeamPCP grupe zahtijeva sveobuhvatan pristup koji uključuje primjenu snažnih sigurnosnih mjera na svim slojevima infrastrukture organizacije, uz stalni nadzor i usklađivanje strategija radi smanjenja rizika. U nastavku slijede preporuke koje mogu poslužiti kao neutralne smjernice za bolje upravljanje sigurnosnim izazovima:

  1. Podijeliti mrežne resurse na odvojene segmente radi ograničavanja bočnog kretanja u slučaju uspješnog napada. Ovo pomaže u sprječavanju širenja zlonamjernog softvera i pristupa osjetljivim podacima. Svaki segment treba da ima sopstvene kontrole pristupa, nadzor i planove odgovora na sajber prijetnje.
  2. Ograničiti korisničke privilegije na minimum potreban za njihove uloge i zadatke. To uključuje ograničavanje pristupa resursima u oblaku, programskim okruženima (API) i drugim osjetljivim oblastima. Redovno pregledati i ažurirati dozvole pristupa radi sprječavanja neovlaštenog povećanja privilegija.
  3. Uvesti praćenje u stvarnom vremenu kroz sve mrežne segmente, sisteme i aplikacije. Koristiti izvore obavještajnih podataka o prijetnjama i alate za upravljanje bezbjednosnim informacijama i događajima (eng. security information and event management – SIEM) radi ranog otkrivanja anomalija i prijetnji.
  4. Pregledati i dopuniti planove odgovora na sajber prijetnje tako da obuhvate otkrivanje i otklanjanje prijetnji specifičnih za oblak, poput TeamPCP. Redovno testirati i potvrđivati ove planove kroz vježbe i simulirane incidente.
  5. Iskoristiti kontrole osmišljene za okruženja u oblaku, kao što su politike upravljanja identitetima i pristupom (eng. Identity and Access Management – IAM) na AWS , GCP ili Azure Ove kontrole pomažu u sprječavanju neovlaštenog pristupa i otkrivanju sumnjive aktivnosti.
  6. Povremeno pregledati i dopunjavati postavke bezbjednosti kroz sve servise u oblaku, uključujući Kubernetes skupove, Docker API okruženja, Redis servere i druge izložene komponente infrastrukture. Ažuriranja usklađivati sa najnovijim obavještajnim podacima i najboljim praksama.
  7. Uvesti provjeru identiteta u više koraka (eng. multi-factor authentication – MFA) za sve korisnike koji pristupaju osjetljivim resursima ili obavljaju kritične zadatke. Redovno pregledati i dopunjavati politike kontrole pristupa radi sprječavanja neovlaštenog pristupa i osiguravanja poštovanja principa najmanjih privilegija.
  8. Povremeno pregledati platforme u oblaku radi otkrivanja neželjenih procesa, poput posredničkih servera, tunelovanja ili rudarenja. Ovo pomaže u ranom otkrivanju zlonamjernog softvera.
  9. Koristiti izvore obavještajnih podataka radi praćenja prijetnji poput TeamPCP. Automatizovani alati olakšavaju otkrivanje, reagovanje i otklanjanje prijetnji kroz infrastrukturu organizacije.
  10. Ažurirati servise, zavisnosti i biblioteke trećih strana radi zatvaranja poznatih ranjivosti koje zlonamjerni akteri koriste.
  11. Osigurati primjenu bezbjednosnih praksi kroz cijeli proces kontinuirane integracije i isporuke radi sprječavanja da pogrešno podešene komponente budu ubačene u produkciju.
  12. Pregledati i dopunjavati politike, procedure i smjernice radi usklađivanja sa najnovijim obavještajnim podacima i najboljim praksama za prijetnje u oblaku poput TeamPCP.
  13. Organizovati redovne obuke i programe za sve zaposlene uključene u rad sa oblakom, uključujući programere, DevOps timove i IT Ovo pomaže u razumijevanju rizika i sprječavanju napada kroz bezbjedne postavke i nadzor.
  14. Razmotriti uvođenje bezbjednosnih prolaza za oblak (eng. cloud security gateways – CSG) kao dodatnog sloja zaštite za resurse u oblaku. Ovi prolazi mogu pružiti otkrivanje prijetnji u stvarnom vremenu, izolovana okruženja (eng. sandboxing) i druge napredne funkcije.
  15. Organizovati penetracijske testove kroz infrastrukturu radi otkrivanja ranjivosti koje bi zlonamjerni akteri mogli iskoristiti.
  16. Iskoristiti alate za zapisivanje i nadzor prilagođene oblaku, poput AWS CloudTrail ili GCP Stackdriver, radi prikupljanja detaljnih zapisa aktivnosti. Ovo pomaže u ranom otkrivanju prijetnji.
  17. Razmotriti uvođenje alata za upravljanje bezbjednosnim položajem oblaka (eng. cloud security posture management – CSPM) kao dodatnog sloja zaštite. Ovi alati pružaju otkrivanje prijetnji u stvarnom vremenu, praćenje usklađenosti i druge napredne funkcije.

Zaštita od napada TeamPCP grupe zahtijeva sveobuhvatan pristup koji uključuje sprovođenje snažnih mjera bezbjednosti na svim nivoima infrastrukture organizacije. Pridržavanjem ovih preporuka moguće je značajno smanjiti rizik od ove prijetnje i osigurati da resursi u oblaku ostanu bezbjedni i otporni na napade.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.