Nel panorama delle minacce cloud, ci si aspetta di trovare cryptominer aggressivi, botnet rumorose e ransomware ad alto impatto mediatico. Quello che non ci si aspetta è un malware che si presenta quasi come un servizio di pulizia: arriva, rimuove l’infezione del sistema, e poi svuota silenziosamente i cassetti.
È esattamente questo il meccanismo alla base di PCPJack, un framework modulare di credential theft individuato dai ricercatori di SentinelLabs a fine aprile 2026. Il toolset è costruito per colpire infrastrutture cloud esposte, con un focus specifico su ambienti Docker, Kubernetes, Redis e MongoDB, ma la sua caratteristica più singolare non è la strategia usata.
PCPJack nasce già armato contro TeamPCP, un threat actor attivo da fine 2025, noto per aver compromesso supply chain critiche come Aqua Security Trivy e il gateway AI LiteLLM. Il worm rimuove attivamente ogni traccia di TeamPCP dai sistemi infettati e registra persino una metrica chiamata “PCP replaced” nei dati esfiltrati verso il server di controllo. Dopo questa operazione prende il controllo raccogliendo wallet, chiavi API e token di sessione da oltre trenta servizi cloud e piattaforme SaaS.
L’ipotesi più accreditata è che PCPJack sia opera di un ex membro di TeamPCP, qualcuno che ha deciso di uscire dal gruppo portandosi dietro know-how, infrastruttura e, a quanto pare, un conto in sospeso. Se gestisci ambienti cloud, Docker o Kubernetes, continua a leggere per capire come opera PCPJack.
PCPJack: un’architettura modulare costruita per restare invisibile
Dal punto di vista tecnico, PCPJack è un’opera ben strutturata. Il vettore iniziale è uno script shell chiamato bootstrap.sh che prepara l’ambiente, scarica i moduli da uno storage S3 controllato dall’attaccante ed elimina qualsiasi processo o artefatto riconducibile a TeamPCP.
Dopodiché installa Python 3.6+, configura la persistenza tramite systemd o cron a seconda dei privilegi disponibili, e avvia la catena di esecuzione. I sei moduli che compongono il framework coprono ogni fase operativa:
worm.py(salvato comemonitor.py). È l’orchestratore principale, responsabile della propagazione tramite cinque CVE, tra cui CVE-2025-55182 (React2Shell), CVE-2025-29927 e CVE-2026-1357utils.py. Si occupa del parsing delle credenziali con espressioni regolari_lat.py. Permette di spostarsi da un sistema già compromesso ad altri sistemi nella stessa rete o infrastruttura attraverso SSH, Kubernetes, Docker, Redis e MongoDB_cu.py. Cifra i payload prima dell’esfiltrazione con X25519 e ChaCha20-Poly1305_cr.py. Mantiene aggiornata una mappa degli IP range di AWS, Google Cloud, Azure, Cloudflare e Fastly, con refresh ogni 24 ore_csc.py. Esegue la scansione esterna dei servizi esposti
L’elemento più originale è il meccanismo di target discovery: PCPJack scarica file in formato Parquet da Common Crawl, un corpus pubblico dell’intero web usato tipicamente nell’AI e nel data analytics, e ne estrae host validi su cui avviare le scansioni. L’uso di Common Crawl come motore di discovery è un esempio di come strumenti legittimi e ampiamente diffusi possano essere reimpiegati in modo del tutto inaspettato.
Ogni nodo infetto riceve una porzione differente del dataset, evitando duplicazioni grazie a una struttura di deduplicazione in-memory con capacità nell’ordine dei milioni di voci.
PCPJack: niente mining, il profilo di un attore pragmatico
Ciò che distingue PCPJack da quasi tutti i suoi competitor nel segmento cloud è l’assenza totale di componenti di cryptomining. In questo ecosistema, XMRig o equivalenti sono la norma: garantiscono un flusso di ricavi passivo e relativamente stabile. PCPJack li ignora deliberatamente, anzi li rimuove quando appartengono a TeamPCP.
L’attore preferisce ritorni rapidi attraverso furto di credenziali wallet, rivendita di accessi e servizi API e potenziale estorsione, piuttosto che l’accumulo lento di criptovaluta con un rischio di detection più alto.
Il perimetro delle credenziali nel mirino è molto ampio: AWS, GCP, Azure, GitHub, Slack, WordPress, ma anche Gmail, Outlook, Mailchimp per campagne spam, wallet Bitcoin ed Ethereum, exchange come Coinbase e Binance, e servizi fintech come Stripe.
Un secondo toolset, ospitato sulla stessa infrastruttura, distribuisce beacon Sliver per architetture multiple e raccoglie API key di OpenAI, Anthropic, DigitalOcean e HashiCorp Vault. Il profilo complessivo è quello di un attore con un modello di monetizzazione diversificato: accesso iniziale da rivendere, dati utili per frodi finanziarie e spam, chiavi API di alto valore per AI e cloud.
Se gestisci infrastrutture cloud, il consiglio è di non lasciare credenziali in variabili d’ambiente o file .env accessibili. Implementa MFA sugli account di servizio, usa secrets manager come HashiCorp Vault o AWS Secrets Manager, e monitora attivamente i socket Docker esposti e i cluster Kubernetes senza autenticazione.
Una guerra tra hacker
La vicenda PCPJack racconta qualcosa che va oltre la semplice analisi tecnica di un nuovo malware. Siamo di fronte a un conflitto attivo tra attori del cybercrime cloud, con dinamiche quasi aziendali: un presunto ex membro che rompe con il gruppo originario, replica le metodologie, e le rideploya contro il vecchio team.
TeamPCP aveva persino pubblicato un post sul proprio account X il 19 aprile 2026, alludendo a un furto d’identità da parte di qualcuno, prima che l’account venisse sospeso. Il giorno successivo, secondo i ricercatori, iniziava la campagna PCPJack, individuata poi da SentinelLabs il 28 aprile tramite una regola di ricerca (o threat hunting) su VirusTotal. La superficie d’attacco rimane la stessa, ovvero servizi esposti, configurazioni errate e credenziali in chiaro, ma i metodi di evasione diventano sempre più sofisticati.
L’episodio insegna anche che la superficie d’attacco si sta allargando ai servizi di intelligenza artificiale: chiavi API di modelli come OpenAI e Anthropic valgono oro per gli aggressori, e proteggerle richiede la stessa disciplina che applichiamo alle credenziali bancarie. Restare sempre aggiornati e diffidenti è l’unica strategia che paga.
