Un nuevo y sofisticado grupo de hackers conocido como TeamPCP ha desatado una campaña masiva en Internet utilizando un malware autopropagable nunca antes visto. Este gusano informático no solo compromete servidores para robar datos y desplegar ransomware, sino que incluye una característica particularmente inquietante: un componente destructor de datos que ataca exclusivamente a máquinas ubicadas en Irán.
El grupo ganó notoriedad por primera vez en diciembre de 2024, cuando investigadores de seguridad observaron cómo desplegaba un gusano dirigido a plataformas en la nube mal configuradas. Su objetivo inicial era construir una infraestructura distribuida de proxies y escaneo para después utilizarla en actividades delictivas como exfiltración de datos, extorsión y minería ilegal de criptomonedas. Lo que distingue a TeamPCP es su habilidad excepcional en automatización a gran escala y la integración de técnicas de ataque bien conocidas.
Recientemente, el grupo ejecutó un ataque de cadena de suministro alarmante al comprometer prácticamente todas las versiones del popular escáner de vulnerabilidades Trivy. Los atacantes lograron acceso privilegiado a la cuenta de GitHub de Aqua Security, la empresa creadora de esta herramienta ampliamente utilizada en la comunidad de código abierto. Durante el fin de semana, los investigadores observaron la propagación de un malware potente bautizado como CanisterWorm por la firma de seguridad Aikido, capaz de infectar nuevas máquinas automáticamente sin ninguna interacción humana.
La versión más reciente de CanisterWorm incluye un componente devastador llamado Kamikaze: un wiper o destructor de datos que se activa únicamente en máquinas configuradas para Irán o que utilizan la zona horaria iraní. Cuando estas condiciones se cumplen, el malware deja de robar credenciales y en su lugar procede a eliminar datos del sistema. Aunque aún no hay evidencia de daños reales en máquinas iraníes, los expertos advierten sobre el potencial de impacto masivo si el gusano logra una propagación activa.
Las motivaciones de TeamPCP permanecen en el misterio. Mientras que históricamente el grupo parecía tener objetivos financieros, su reciente comportamiento sugiere que buscan visibilidad y notoriedad. Al atacar herramientas de seguridad y proyectos de código abierto prominentes, incluido Checkmarx, están enviando una señal clara y deliberada a la comunidad de ciberseguridad. Los investigadores especulan que podría haber un componente ideológico, o simplemente un intento calculado de atraer atención mediática hacia sus operaciones.
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario