Исследователи SentinelOne обнаружили необычную кампанию с атаками на системы, уже захваченные другой хакерской группой. Новая активность получила название PCPJack. По данным SentinelOne, неизвестные хакеры проникают в инфраструктуру, ранее скомпрометированную группировкой TeamPCP, удаляют её инструменты, выталкивают прежних атакующих и используют доступ для кражи учётных данных и распространения по облачным средам.
Обычно в новостях о кибератаках жертвами становятся компании, госструктуры, банки или операторы инфраструктуры. В этом случае жертвами частично стали сами хакеры. Неизвестная группа решила не искать новые цели с нуля, а зайти туда, где уже поработали конкуренты. Уже вскрытая система предлагает атакующим целый набор готовых преимуществ:

слабые места после первой компрометации;
готовые маршруты доступа в инфраструктуру;
следы предыдущих операций группы;
остатки рабочих учётных данных.

Интересно, что собственные инструменты PCPJack ведут счёт взломанных целей, отбитых у TeamPCP, и эта статистика отправляется обратно атакующим как трофей.

TeamPCP за последние недели уже привлекла внимание исследователей из-за нескольких громких атак. Группе приписывали взлом облачной инфраструктуры Европейской комиссии и масштабную атаку на популярный сканер уязвимостей Trivvy. Последствия затронули компании с этим инструментом, среди них LiteLLM и ИИ-стартап Mercor, работающий в сфере подбора персонала.
Новая кампания PCPJack устроена иначе. Злоумышленники находят системы с присутствием TeamPCP, получают доступ, удаляют её инструменты и разворачивают собственный код. Подобный код распространяется по разным облачным средам по принципу самораспространяющегося червя, собирает учётные данные и отправляет их на инфраструктуру атакующих.
Старший исследователь SentinelOne Алекс Деламотт, обнаружившая кампанию, рассказала TechCrunch об отсутствии ясности с авторами PCPJack. У исследователей есть 3 версии происхождения группы:

бывшие участники TeamPCP с конфликтом внутри;
конкурирующая хакерская группировка;
третья сторона с копированием подхода TeamPCP;
сборная команда из бывших участников разных групп;
наёмники с задачей вытеснения конкурента.

По словам Алекс Деламотт, сервисы под прицелом PCPJack сильно напоминают кампании TeamPCP декабря и января, периода до предполагаемых изменений в составе группы в феврале и марте.
PCPJack не ограничивается системами с присутствием TeamPCP. SentinelOne отмечает сканирование интернета в поиске открытых сервисов вроде Docker, баз данных MongoDB и других доступных компонентов. Общий фокус кампании направлен против инфраструктуры с прежним присутствием TeamPCP.
Финансовая мотивация PCPJack выглядит основной. Хакеры крадут учётные данные и ищут способы монетизировать доступ. Они могут перепродавать украденные данные, продавать доступ как initial access brokers или напрямую вымогать деньги у жертв.
PCPJack не устанавливает майнеры криптовалюты. Вероятная причина связана с долгим периодом окупаемости майнинга. Кража учётных данных и продажа доступа дают более быстрый финансовый результат и менее шумный способ заработать на взломанной инфраструктуре.
В части атак злоумышленники используют домены, похожие на фишинговые страницы для кражи данных менеджеров паролей и поддельные сайты службы поддержки. PCPJack не сводится только к облачной автоматизации и червеобразному распространению.

Интересно, что киберпреступность теперь напоминает обычный рынок, где взломанная инфраструктура переходит из рук в руки и продаётся, как обычный товар.

Для компаний история неприятна по 2 причинам. Удаление инструментов одной группы не означает завершения атаки. В ту же среду могут зайти другие злоумышленники с поиском следов компрометации. Разные группы могут бороться за один и тот же доступ, а жертва видит только последствия:

украденные учётные данные сотрудников;
новые непонятные учётные записи в системах;
странный сетевой трафик из облачной среды;
повторные инциденты с разрывом во времени;
разнородные индикаторы атаки в логах.

Современный криминальный рынок доступа работает по чёткой схеме. Одни атакующие получают первичный доступ. Другие покупают его. Третьи находят уже скомпрометированные узлы и забирают контроль. Четвёртые используют украденные учётные данные для новых атак.
Ранее сообщалось о вхождении ИТ-компаний в 2025 году в тройку самых атакуемых отраслей с вытеснением финансового сектора. По данным центра сервисов кибербезопасности «Лаборатории Касперского», государственные структуры и промышленность остались на первых 2 позициях, а ИТ-сектор оказался сразу за ними.
Кампания против Trivvy хорошо укладывается в эту картину. Инструменты для поиска уязвимостей, библиотеки, CI/CD, облачные сервисы и платформы разработки становятся привлекательными целями. Через подобное звено атакующий затрагивает множество организаций сразу.
Ранее сообщалось о превращении объектов критической информационной инфраструктуры в главную цель атак в 1 квартале 2026 года. По данным RED Security SOC, на отрасли КИИ пришлось более 9000 атак или 77% всех инцидентов против российских компаний.
Для команд ИБ главный урок PCPJack кроется в необходимости полной зачистки и расследования после любого инцидента. После обнаружения атаки нужно проверять разные следы повторного доступа:

новые учётные записи и токены;
ключи и CI/CD-секреты;
сетевые правила и контейнеры;
задания планировщика и облачные роли;
внешние подключения к инфраструктуре.

Эксперты редакции CISOCLUB отмечают, что кампания PCPJack показывает превращение киберпреступности в полноценный рынок с конкуренцией атакующих за доступ. По мнению редакции, преступники вытесняют друг друга и перепродают уже взломанную инфраструктуру как обычный товар.