Ένας παράγοντας απειλών γνωστός ως TeamPCP έχει κάνει μια απότομη στροφή προς την καταστροφή με ένα νέο ωφέλιμο φορτίο που ξεπερνά κατά πολύ την κλοπή διαπιστευτηρίων ή την εγκατάσταση σε κερκόπορτα.
Η ομάδα, που παρακολουθείται ως εγγενής εισβολέας στο cloud από τα τέλη του 2025, έχει αναπτύξει έναν υαλοκαθαριστήρα Kubernetes που στοχεύει συγκεκριμένα συστήματα που έχουν διαμορφωθεί για το Ιράν — μια τακτική γεωπολιτικής στόχευσης που σηματοδοτεί μια σαφή και σοβαρή κλιμάκωση της πρόθεσης και της εμβέλειας της εκστρατείας.
Το TeamPCP επέστησε πρώτα την προσοχή για την εκμετάλλευση των εσφαλμένων διαμορφωμένων API του Docker, των συμπλεγμάτων Kubernetes και των αγωγών CI/CD. Οι προηγούμενες καμπάνιες τους επικεντρώθηκαν στην επιμονή — να φυτεύουν κερκόπορτες και να κλέβουν αθόρυβα διαπιστευτήρια πρόσβασης.
Αυτό το νέο ωφέλιμο φορτίο αλλάζει εντελώς το παιχνίδι. Μόλις αναπτυχθεί, ελέγχει εάν το μολυσμένο σύστημα ανήκει σε ιρανικό περιβάλλον και, εάν επιβεβαιωθεί, προχωρά στην πλήρη διαγραφή του.
Για μη ιρανικά συστήματα, επανέρχεται στην εγκατάσταση της οικείας κερκόπορτας CanisterWorm που παρατηρήθηκε σε προηγούμενες λειτουργίες.
Οι ερευνητές του Aikido εντόπισαν αυτό το νέο ωφέλιμο φορτίο ως άμεση συνέχεια της καμπάνιας CanisterWorm, σημειώνοντας ότι μοιράζεται την ίδια υποδομή κονσερβών κονσερβών πρωτοκόλλου υπολογιστή Διαδικτύου (ICP): tdtqy-oyaaa-aaaae-af2dq-cai[.]raw[.]icp0[.]io.
Ο ίδιος κωδικός backdoor, το ίδιο /tmp/pglog διαδρομή πτώσης και η ίδια εγγενής πλευρική κίνηση του Kubernetes μέσω του DaemonSets επιβεβαιώνει ότι το TeamPCP εξελίσσει την εργαλειοθήκη του — τώρα με καταστροφική πρόθεση.
Το ωφέλιμο φορτίο παραδίδεται μέσω περιστρεφόμενων τομέων σήραγγας Cloudflare, καθιστώντας δυσκολότερο τον αποκλεισμό σε επίπεδο δικτύου. Αρχικά, έδειξε σε ένα μόνο αρχείο που ονομάζεται kamikaze.sh.
Οι νεότερες εκδόσεις χωρίζουν τη λογική σε δύο ξεχωριστά αρχεία – ένα σταδιακό κέλυφος που κατεβάζει και εκτελεί kube.pyστη συνέχεια διαγράφεται.
Αυτό το σενάριο Python διατηρεί τη βασική λογική απόφασης που καθορίζει τι κάνει στη συνέχεια το κακόβουλο λογισμικό, εξ ολοκλήρου με βάση το περιβάλλον και την τοποθεσία του στόχου.
Αυτό που κάνει αυτή την απειλή ιδιαίτερα επικίνδυνη είναι το πόσο σκόπιμη και υπολογισμένη είναι.
Το κακόβουλο λογισμικό δεν χτυπά τυχαία — λαμβάνει ακριβείς αποφάσεις με βάση δύο ελέγχους, χτυπώντας τα ιρανικά συστήματα με πλήρη καταστροφή, ενώ παραμένει αθόρυβα επίμονο παντού αλλού.
Μέσα στον υαλοκαθαριστήρα: Πώς λειτουργεί το “kamikaze”.
Ο πυρήνας αυτής της επίθεσης είναι ένα δέντρο αποφάσεων τεσσάρων διαδρομών που δρομολογεί τη συμπεριφορά με βάση δύο μεταβλητές: εάν ο κεντρικός υπολογιστής βρίσκεται μέσα σε ένα σύμπλεγμα Kubernetes και εάν έχει ρυθμιστεί για το Ιράν.
Η ανίχνευση Ιράν διαβάζει τις ρυθμίσεις ζώνης ώρας και τοπικών ρυθμίσεων του συστήματος. Εάν το μηχάνημα χρησιμοποιεί Asia/Tehran, Iranή fa_IRείναι σημαία για καταστροφή.
Για ιρανικά συστήματα που τρέχουν μέσα στο Kubernetes, το ωφέλιμο φορτίο αναπτύσσει ένα DaemonSet με το όνομα host-provisioner-iran με ένα δοχείο μέσα που ονομάζεται kamikaze.
Προσαρτά το ριζικό σύστημα αρχείων του κεντρικού υπολογιστή, διαγράφει τα πάντα στο ανώτερο επίπεδο και αναγκάζει μια επανεκκίνηση. Δεδομένου ότι το DaemonSet φέρει ανοχές που το προγραμματίζουν σε κάθε κόμβο – συμπεριλαμβανομένου του επιπέδου ελέγχου – μια μόνο εντολή ανάπτυξης είναι αρκετή για να διαμορφώσει ολόκληρο το σύμπλεγμα.
Για ιρανικά συστήματα χωρίς Kubernetes, η προσέγγιση είναι άμεση: το σενάριο εκτελείται rm -rf / --no-preserve-rootσκουπίζοντας ολόκληρο το σύστημα αρχείων.
Μια τρίτη και πιο ικανή παραλλαγή του ωφέλιμου φορτίου, που ανακαλύφθηκε λίγο αργότερα, απέρριψε εντελώς την εξάρτηση από το Kubernetes και πρόσθεσε χαρακτηριστικά αυτοδιάδοσης.
Και τα δύο διασκορπισμένα μονοπάτια προσφέρουν το ίδιο ωφέλιμο φορτίο — καταστροφή για ιρανικούς στόχους και αθόρυβη εγκατάσταση κερκόπορτας για όλους τους άλλους.
Οι ομάδες ασφαλείας θα πρέπει να ελέγχουν αμέσως όλα τα DaemonSets στο kube-system χώρο ονομάτων για απροσδόκητες καταχωρήσεις — συγκεκριμένα host-provisioner-iran και host-provisioner-std.
Ελέγξτε για τις υπηρεσίες systemd με το όνομα internal-monitor ή pgmonitorαρχεία στο /var/lib/pgmon/pgmon.pyκαι pglog διεργασίες σε /tmp/. Αποκλεισμός εξερχόμενων συνδέσεων σε icp0[.]io τομείς.
Κλείστε την πρόσβαση Docker API στη θύρα 2375, βεβαιωθείτε ότι δεν θα εκτεθεί ποτέ χωρίς έλεγχο ταυτότητας και περιστρέψτε τα κλειδιά SSH σε οποιονδήποτε δυνητικά παραβιασμένο κεντρικό υπολογιστή. Ελέγξτε προσεκτικά τα αρχεία καταγραφής ελέγχου ταυτότητας SSH για τυχόν σημάδια ασυνήθιστης δραστηριότητας πλευρικής κίνησης.
