دودة TeamPCP تهدد البنية السحابية باستغلال ثغرة خطيرة

حذر خبراء الأمن السيبراني مؤخراً من حملة هجومية واسعة النطاق تستهدف البيئات السحابية الحديثة، حيث تقوم دودة TeamPCP ببناء شبكة إجرامية معقدة لاستغلال الخوادم بشكل آلي، وهو ما نتابعه باهتمام في تيكبامين لنضعكم في قلب الحدث.

كيف تستغل دودة TeamPCP البنية السحابية؟

بدأ النشاط المرصود لهذه الحملة حول 25 ديسمبر 2025، حيث استغل المهاجمون واجهات برمجة التطبيقات المكشوفة في Docker ومجموعات Kubernetes وخوادم Redis، بالإضافة إلى لوحات التحكم الخاصة بـ Ray.

ويعتمد الهجوم بشكل رئيسي على استغلال ثغرة React2Shell (المعروفة بـ CVE-2025-55182) التي تحمل تصنيف خطورة حرج للغاية (10.0)، وتُنسب هذه الحملة لمجموعة TeamPCP التي تنشط تحت أسماء متعددة مثل DeadCatx3 وShellForce.

وقد تم توثيق نشاط هذه المجموعة منذ نوفمبر 2025، مع وجود قناة نشطة لهم على تيليجرام تضم مئات الأعضاء، حيث يقومون بنشر بيانات مسروقة من ضحايا في دول متعددة تشمل:

• الولايات المتحدة الأمريكية وكندا.
• الإمارات العربية المتحدة وكوريا الجنوبية.
• صربيا ودول أخرى حول العالم.

ما هي الأهداف الرئيسية لمجموعة TeamPCP؟

لا يقتصر هدف المجموعة على التخريب العشوائي، بل تسعى لتحويل الخوادم المصابة إلى منصة متكاملة للجرائم الإلكترونية، مستغلة التطبيقات الضعيفة المبنية بـ React وNext.js كنقاط دخول رئيسية.

وتشير التقارير الأمنية إلى أن البنية التحتية المخترقة تُستخدم لأغراض متنوعة وخطيرة تشمل:

• بناء شبكات بروكسي (Proxy) موزعة وبنية تحتية للمسح الشبكي.
• نشر برامج الفدية (Ransomware) وابتزاز الضحايا.
• تعدين العملات الرقمية باستنزاف موارد الخوادم المخترقة.
• استخدام الخوادم كنقاط ترحيل للقيادة والتحكم (C2) لتنفيذ هجمات لاحقة.

آلية العمل والانتشار الذاتي للدودة

تتميز دودة TeamPCP بقدرتها على تحويل البنية التحتية المكشوفة إلى "نظام بيئي إجرامي ذاتي الانتشار". بدلاً من استخدام تقنيات معقدة وجديدة، تعتمد المجموعة على أدوات مجربة وثغرات معروفة لأتمتة عملية الاختراق بالكامل.

بمجرد نجاح الاختراق، يتم نشر حمولات المرحلة التالية من خوادم خارجية، والتي تتضمن نصوصاً برمجية بلغة Shell وPython للبحث عن أهداف جديدة.

دور أداة proxy.sh في الهجوم

يعد المكون "proxy.sh" جزءاً أساسياً من هذه العملية، حيث يقوم بتنفيذ مهام حيوية لاستمرار الهجوم وتوسيع نطاقه:

• تثبيت أدوات البروكسي والأنفاق (Tunneling).
• تسليم ماسحات ضوئية متنوعة للبحث المستمر عبر الإنترنت عن خوادم غير محمية.
• إجراء بصمة للبيئة المستهدفة لتحديد أفضل طرق الاستغلال.

في الختام، يشدد فريق تيكبامين على أهمية تأمين واجهات Docker وKubernetes وتحديث الأنظمة فوراً لتجنب الوقوع ضحية لهذه الهجمات المؤتمتة التي تستغل أي ثغرة أمنية متاحة.