Ciberdelincuentes despliegan sofisticado "gusano" para asaltar infraestructuras en la nube a escala global
Investigadores de la firma de ciberseguridad SentinelOne han alertado sobre una campaña masiva y sistemática dirigida contra entornos nativos de la nube. El grupo detrás de estos ataques, identificado como TeamPCP (también conocido bajo alias como ShellForce o DeadCatx3), está utilizando herramientas automatizadas para comprometer servidores y establecer una infraestructura maliciosa destinada al robo de datos y la extorsión.
Según el reporte técnico, TeamPCP ha estado activo desde al menos noviembre de 2025, aunque sus huellas en plataformas de comunicación como Telegram se remontan a mediados del año pasado. La peligrosidad de este grupo no radica en la novedad técnica de sus herramientas, sino en su capacidad de integración operativa y el alcance de sus ataques.
Tácticas de infección y objetivos
La investigación revela que el grupo aprovecha configuraciones erróneas y vulnerabilidades conocidas en tecnologías críticas para las empresas modernas. Entre los principales vectores de infección se encuentran:
APIs de Docker y Kubernetes mal configuradas.
Dashboards de Ray y servidores Redis expuestos.
Aplicaciones vulnerables desarrolladas en React y Next.js.
Una vez que el "gusano" logra acceder a un sistema, realiza un reconocimiento profundo. Si detecta un entorno de Kubernetes, el malware despliega una carga útil secundaria específica para clusters, lo que demuestra que el grupo posee un arsenal diseñado exclusivamente para la nube y no depende únicamente de malware genérico para Linux.
Enfoque en AWS y Azure
Los datos de SentinelOne indican que los atacantes se centran principalmente en entornos de Amazon Web Services (AWS) y Microsoft Azure. No obstante, los expertos aclaran que el grupo es de naturaleza oportunista: no dirigen sus ataques a industrias específicas, sino a cualquier infraestructura débil que pueda servir a sus propósitos criminales.
Extorsión y robo de datos
Más allá del secuestro de recursos computacionales, TeamPCP está vinculado a actividades de exfiltración de información sensible. Los investigadores han detectado la filtración de bases de datos de currículums (CV), registros de identidad y datos corporativos confidenciales a través de su brazo operativo, ShellForce. Esta información es utilizada posteriormente para alimentar campañas de ransomware, fraudes y para fortalecer la reputación del grupo en el ecosistema del cibercrimen.
"Lo que hace peligroso a TeamPCP es su escala. La mayoría de sus exploits y malware se basan en vulnerabilidades conocidas y herramientas de código abierto ligeramente modificadas", señala el informe.
Ante esta amenaza, los especialistas recomiendan a las organizaciones auditar urgentemente sus APIs expuestas a internet, asegurar las configuraciones de sus contenedores y mantener actualizados los marcos de trabajo de sus aplicaciones web para cerrar las puertas de entrada a este tipo de gusanos automatizados.
