Thought Leadership
Der Wurm PCPJack säubert infizierte Systeme von TeamPCP-Malware, stiehlt umfassende Cloud-Zugangsdaten und verbreitet sich automatisiert über AWS und Kubernetes.
Sicherheitsexperten von SentinelOne haben eine neue, hochgradig modulare Malware-Plattform identifiziert, die gezielt Cloud-Umgebungen und Webanwendungen angreift. Der als „PCPJack“ bezeichnete Wurm zeichnet sich durch ein ungewöhnliches Verhalten aus: Bevor er seine eigenen Spionagewerkzeuge installiert, sucht und entfernt er aktiv Infektionen der Hackergruppe „TeamPCP“. Diese aggressive Verdrängung von Konkurrenz-Malware deutet laut Analysten darauf hin, dass die Hintermänner von PCPJack über tiefgreifende Kenntnisse der TeamPCP-Infrastruktur verfügen, möglicherweise handelt es sich um ehemalige Mitglieder der Gruppe.
Verdrängungswettbewerb innerhalb der Hacker-Szene
Die Entdeckung von PCPJack folgt auf eine Serie vieler Supply-Chain-Angriffe durch die Gruppe TeamPCP im frühen Jahr 2026, die weltweite Aufmerksamkeit erregten. SentinelOne berichtet, dass PCPJack seit Ende April 2026 aktiv ist. Die Malware zielt auf dieselben Dienste ab, die bereits Ende 2025 im Fokus früherer TeamPCP-Kampagnen standen.
Das Framework ist darauf spezialisiert, bestehende Artefakte und Prozesse von TeamPCP auf infizierten Linux-Systemen zu identifizieren und zu eliminieren. Erst nach dieser „Bereinigung“ setzt die Malware ihre eigene Payload ab. Dieser interne Krieg um die Kontrolle über infizierte Server unterstreicht die wachsende Rivalität im Bereich des Diebstahls von Cloud-Ressourcen und Anmeldedaten.
Infektion beginnt mit Linux-Shell-Skript
Eine Infektion mit PCPJack beginnt typischerweise mit einem Linux-Shell-Skript. Dieses Skript bereitet die Umgebung vor und lädt weitere Schadkomponenten nach. Ein wesentlicher technischer Schritt ist die Erstellung einer virtuellen Python-Umgebung (venv) direkt auf dem Zielsystem. Aus einem AWS S3 Bucket lädt der Wurm anschließend sechs spezialisierte Module herunter.
Um Entdeckung durch Sicherheitssysteme zu erschweren, werden diese Module unmittelbar nach dem Download umbenannt. Die Komponenten sind modular aufgebaut und übernehmen jeweils spezifische Aufgaben innerhalb des Frameworks:
- Ein Orchestrator, der den Ablauf der Angriffe steuert.
- Module für das Auslesen von Zugangsdaten (Credential Parsing).
- Komponenten für die laterale Bewegung innerhalb von Netzwerken.
- Verschlüsselungstools für die Kommunikation mit dem Command-and-Control-Server (C&C).
- Werkzeuge für das Scannen von Cloud-IP-Bereichen.
Umfassender Diebstahl von Zugangsdaten und Tokens
Das primäre Ziel von PCPJack ist die Exfiltration sensibler Daten, um Finanzbetrug zu begehen oder die Zugänge in Untergrundforen zu monetarisieren. Die Malware durchsucht das System nach .env-Dateien, Konfigurationsskripten, Umgebungsvariablen und SSH-Schlüsseln. Besonders betroffen sind Dienste wie AWS, Kubernetes, Docker und Redis.
Darüber hinaus extrahiert der Wurm Anmeldedaten und Token für eine Vielzahl von Unternehmensanwendungen und Produktivitäts-Tools:
- Kommunikation: Slack, Gmail, Office 365 und Outlook.
- Entwicklung: GitHub und WordPress.
- KI und Daten: RayML und verschiedene Datenbankdienste wie MongoDB.
- Finanzen: Kryptowährungs-Wallets.
Die Einbeziehung von Slack und Unternehmensdatenbanken deutet darauf hin, dass die Akteure ihre Aktivitäten über den reinen Diebstahl hinaus auf Erpressungsversuche ausweiten könnten.
Automatisierte Ausbreitung durch Schwachstellen-Scanning
PCPJack verfügt über eine autonome Wurm-Funktionalität. Um neue Ziele im Internet zu identifizieren, lädt die Malware Parquet-Dateien von „Common Crawl“ herunter. Das Ausbreitungsmodul nutzt gezielt bekannte Schwachstellen in Webanwendungen aus, um weitere Systeme zu infizieren. Zu den ausgenutzten Sicherheitslücken gehören:
- CVE-2025-29927 (Next.js)
- CVE-2025-55182 (React2Shell)
- CVE-2026-1357 (WPVivid Backup Plugin für WordPress)
- CVE-2025-9501 (W3 Total Cache Plugin für WordPress)
- CVE-2025-48703 (CentOS Web Panel)
Zusätzlich nutzt PCPJack die erbeuteten SSH-Schlüssel und Anmeldedaten, um sich lateral in Kubernetes-Cluster und Docker-Umgebungen auszubreiten. Einmal gewonnene Zugänge werden sofort genutzt, um das ursprüngliche Infektionsskript auf Remote-Maschinen auszuführen.
Malware verschlüsselt fast alle Daten außer Telegram-Zugangsdaten
Die Steuerung der infizierten Systeme erfolgt über verschlüsselte Kanäle auf der Messaging-Plattform Telegram. Interessanterweise verschlüsselt die Malware laut SentinelOne fast alle ausgehenden Daten, lässt jedoch die eigenen Telegram-Zugangsdaten und Teile der Infrastruktur im Klartext, was den Forschern wertvolle Einblicke in die Arbeitsweise der Gruppe ermöglichte.
Neben dem PCPJack-Framework identifizierten die Ermittler ein zweites Toolset desselben Akteurs. Dieses umfasst sogenannte Sliver-Implantate, ein bekanntes Framework für Cross-Platform-Angriffe, sowie spezialisierte Skripte zum Diebstahl von Anmeldedaten bei Cloud-Anbietern wie Anthropic, Digital Ocean, Discord und Google API. Die hohe Qualität und Modularität des Codes lassen auf professionelle Akteure schließen, die ihre Werkzeuge ständig weiterentwickeln und an die aktuellen Abwehrmechanismen von Cloud-Providern anpassen.
