Ваш сервер — их прокси. Краткий гид по тому, как не стать частью ботнета TeamPCP

В конце 2025 года в облачных средах была зафиксирована новая волна атак, где ставка делается не на заражение рабочих станций, а на захват управляющих интерфейсов контейнеров и кластеров. Под удар попадают публично доступные сервисы и неверно настроенные панели администрирования, а дальше заражение распространяется по принципу червя, превращая инфраструктуру жертвы в часть чужой сети.

Согласно отчёту компании Flare, группа TeamPCP, также известная как PCPcat, ShellForce и DeadCatx3, в декабре 2025 года развернула кампанию против cloud-native окружений. В качестве входных точек использовались открытые Docker API, кластеры Kubernetes, панели Ray, серверы Redis, а также уязвимость React2Shell в приложениях на React и Next.js, связанная с CVE-2025-29927. Задача операции сводилась к созданию распределённой прокси и сканирующей инфраструктуры, после чего на скомпрометированных серверах запускались кража данных, вымогательство, шифрование, а также майнинг криптовалют.

Авторы отчёта отмечают, что сильная сторона TeamPCP не в уникальных эксплойтах, а в автоматизации и «сборке конвейера» из известных техник и открытых инструментов. После компрометации узла вредоносные скрипты разворачивают туннелирование и проксирование, добавляют сервисы для закрепления, запускают сканирование интернета на новые цели и, при обнаружении Kubernetes, переходят на отдельную ветку действий с распространением по подам и установкой привилегированных компонентов для устойчивого доступа.

В наблюдаемой фазе атак через Docker исследователи идентифицировали 185 затронутых серверов с типовым шаблоном команд, что позволило восстановить механику массового развёртывания. Параллельно фиксировались признаки использования Sliver как платформы управления доступом после проникновения, а для монетизации вычислительных ресурсов применялся XMRig.

Кампания сопровождалась публикацией украденных данных и демонстрацией результатов в Telegram, где утечки использовались как подтверждение «успехов» и способ укрепить репутацию в криминальной среде. Среди примеров упоминается инцидент с вьетнамской платформой подбора персонала JobsGO, где в январе 2026 года в подполье выложили базу примерно на 2 325 285 записей с резюме и персональными данными. По совокупности утечек преобладают организации из западных стран, а по отраслевому профилю часто встречаются e-commerce, финансы и HR.

Отдельно подчёркивается «облачный» перекос в выборе целей. В телеметрии, на которую ссылаются авторы, 97% скомпрометированных серверов пришлись на Azure и AWS, при этом доли оцениваются как 61% и 36% соответственно. Это поддерживает вывод о том, что злоумышленники охотятся прежде всего за публично доступными облачными нагрузками, которые удобно превратить в сканеры, прокси, площадки для хостинга и узлы для дальнейших атак.