Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

TeamPCP Worm Exploits Cloud Infrastructure to Build Criminal Infrastructure

2 minute de lecture

Mis à jour :

Infrastructure Criminelle Basée sur le Cloud par TeamPCP

Une campagne de cybercriminalité significative, attribuée au groupe TeamPCP, exploite les environnements cloud natifs pour établir une infrastructure malveillante. Cette opération, active depuis fin 2025, vise à compromettre des serveurs pour le vol de données, le déploiement de ransomwares, l’extorsion et le minage de cryptomonnaies. TeamPCP est connu pour son activité sur Telegram, où il publie des données volées à des victimes internationales.

Points Clés :

  • Exploitation du Cloud Natif : Utilisation d’APIs Docker, de clusters Kubernetes, de tableaux de bord Ray et de serveurs Redis mal configurés comme vecteurs d’infection.
  • Objectifs Multiples : Création d’une infrastructure de proxy distribuée, vol de données, déploiement de ransomware, extorsion et minage de cryptomonnaies.
  • Modèle Opérationnel : L’équipe combine l’exploitation d’infrastructure, le vol de données et l’extorsion pour diversifier ses revenus. Les données volées (CV, identités, données d’entreprise) sont utilisées pour alimenter des ransomwares et des fraudes.
  • Techniques Éprouvées : TeamPCP s’appuie sur des vulnérabilités connues, des outils existants et des mauvaises configurations courantes plutôt que sur des innovations techniques.
  • Ciblage : Les environnements Amazon Web Services (AWS) et Microsoft Azure sont principalement visés. Les attaques sont opportunistes, ciblant l’infrastructure plutôt que des secteurs spécifiques.

Vulnérabilités Exploités :

  • React2Shell : (CVE-2025-55182, CVSS 10.0) - Une vulnérabilité critique permettant une exécution de commandes à distance.
  • Vulnérabilité React : (CVE-2025-29927) - Exploité par le script react.py pour une exécution de commandes à grande échelle.
  • Mauvaises Configurations : APIs Docker exposées, clusters Kubernetes non sécurisés, tableaux de bord Ray mal configurés, serveurs Redis accessibles.

Recommandations :

  • Sécuriser les APIs et les Services Cloud : Mettre en œuvre des contrôles d’accès stricts pour les APIs Docker, les clusters Kubernetes, les tableaux de bord Ray et les serveurs Redis.
  • Patch Management : Appliquer régulièrement les correctifs de sécurité pour les applications, notamment les cadres comme React/Next.js, afin de corriger les vulnérabilités connues.
  • Surveillance Continue : Mettre en place une surveillance robuste des environnements cloud pour détecter les activités suspectes, les scans et les tentatives d’exfiltration de données.
  • Gestion des Configurations : Vérifier et corriger régulièrement les mauvaises configurations dans l’infrastructure cloud pour réduire la surface d’attaque.
  • Analyse des Risques : Évaluer et réduire l’exposition aux vulnérabilités courantes et aux mauvaises configurations fréquemment exploitées par les acteurs malveillants.

Source

Vous pourriez aimer