Usuários comuns e corporações não são as únicas vítimas de hackers maliciosos. Às vezes, os próprios hackers são hackeados. Foi o que aconteceu em uma campanha de hacking incomum, onde um grupo desconhecido de hackers mirou sistemas já comprometidos pelo prolífico grupo de crimes cibernéticos conhecido como TeamPCP.
De acordo com um novo relatório da empresa de segurança cibernética SentinelOne, assim que os invasores invadiram esses sistemas, eles imediatamente expulsaram os hackers do TeamPCP e removeram suas ferramentas. A partir daí, os hackers usaram seu acesso para implantar código projetado para se replicar em diferentes infraestruturas de nuvem como um worm autorreplicante, roubar vários tipos de credenciais e, finalmente, enviar os dados roubados para sua própria infraestrutura.
O TeamPCP é um grupo criminoso cibernético que ganhou destaque nas últimas semanas graças a uma série de hacks de alto perfil atribuídos ao grupo, incluindo uma violação da infraestrutura de nuvem da Comissão Europeia e um ciberataque em larga escala contra a ferramenta de scanner de vulnerabilidades Trivvy, que afetou empresas como LiteLLM e a startup de recrutamento de IA Mercor.
Alex Delamotte, pesquisadora sênior da SentinelOne que descobriu a nova campanha de hacking e a batizou de “PCPJack”, disse ao TechCrunch que não está claro quem está por trás dela. Delamotte elencou três teorias: os hackers são ex-membros insatisfeitos do TeamPCP, fazem parte de um grupo rival ou são um terceiro “que escolheu modelar diretamente suas ferramentas de ataque com base nas campanhas anteriores do TeamPCP”, muitas das quais tinham como alvo a infraestrutura de nuvem.
“Os serviços visados pelo PCPJack se assemelham fortemente às campanhas do TeamPCP de dezembro a janeiro, antes da suposta mudança na composição do grupo que ocorreu em fevereiro-março”, disse Delamotte. Ela também observou que os hackers não visam apenas sistemas comprometidos pelo TeamPCP, mas também escaneiam a internet em busca de serviços expostos, como a plataforma de máquinas virtuais Docker e bancos de dados MongoDB.
Em conclusão, a campanha PCPJack representa um fenômeno raro no cibercrime: invasores atacando outros invasores. Embora a motivação exata permaneça desconhecida, a ação sugere possíveis rivalidades internas ou tentativas de assumir o controle de infraestruturas já comprometidas. Independentemente da origem, o incidente destaca a complexidade e a natureza imprevisível do cenário de ameaças cibernéticas.
