Команда дослідників із кібербезпеки SentinelOne та аналітичного агентства Hunt.io зафіксувала масштабну автоматизовану кампанію з компрометації хмарних обчислювальних потужностей, організовану угрупованням PCPJack. Зловмисники розгорнули високотехнологічний модульний хробак, який самостійно сканує глобальну мережу на наявність вразливих контейнерів Docker, інтерфейсів Kubernetes API та незахищених кластерів машинного навчання. Після виявлення цілі шкідливе програмне забезпечення виконує так звану атаку втечі з контейнера, що дозволяє зловмисникам отримати прямий доступ до операційної системи хоста. На цьому етапі черв’як автоматично викрадає токени доступу до хмарних служб, закриті криптографічні ключі та облікові дані адміністраторів, паралельно видаляючи сліди присутності конкурентного хакерського угруповання TeamPCP.

Аналіз відкритих директорій на командних серверах хакерів показав, що основною метою цієї операції було приховане створення гігантської розподіленої мережі SMTP-релеїв. На захоплені Linux-системи примусово встановлювалися утиліти Chisel для побудови зашифрованих зворотних тунелів, причому кожному порту присвоювався унікальний ідентифікатор на основі математичного алгоритму MD5. Інфраструктура містила автоматичні діагностичні скрипти, які щохвилини перевіряли можливість відправки листів через сервіси Google, автоматично відсікаючи невідповідні сервери та синхронізуючи списки «чистих» проксі-серверів із кінцевими вузлами зловмисників кожні 5 хвилин. Ця схема дозволила хакерам розгорнути стійку до блокувань платформу для проведення масштабних фішингових розсилок та кібератак, яка залишалася непоміченою стандартними засобами моніторингу мережевої безпеки.