Prima di procedere
Nel complesso e mutevole panorama della cybersicurezza contemporanea, stiamo assistendo a un fenomeno sempre più frequente e aggressivo: la guerra territoriale digitale tra gruppi di criminali informatici. Recentemente, gli esperti di SentinelOne hanno identificato una nuova e audace minaccia denominata PCPJack, un gruppo di hacker la cui strategia operativa consiste nel colpire sistemi già compromessi da un'altra organizzazione criminale nota come TeamPCP. Questa dinamica di "predatore che caccia il predatore" evidenzia un'evoluzione nelle tattiche di monetizzazione, dove il controllo delle infrastrutture già violate diventa il principale terreno di scontro tra fazioni rivali che lottano per il predominio del mercato nero.
Il gruppo PCPJack non si limita a infiltrarsi in reti vergini, ma agisce con una precisione chirurgica per estromettere i membri di TeamPCP, rimuovendo i loro malware e sostituendoli con i propri strumenti sofisticati per il furto di credenziali. Secondo quanto riportato da Alex Delamotte, ricercatrice senior presso SentinelOne, questi nuovi attori del cybercrime hanno implementato funzionalità che consentono ai loro software malevoli di propagarsi all'interno delle infrastrutture cloud delle vittime come se fossero dei vermi di rete, o "network worms". Questa capacità di auto-diffusione permette a PCPJack di mappare e dominare rapidamente l'intero ambiente digitale della vittima, centralizzando il furto di informazioni sensibili che vengono poi inviate a server di comando e controllo (C2) gestiti direttamente dagli aggressori.
Uno degli aspetti più singolari e inquietanti del modus operandi di PCPJack è l'inclusione di un contatore interno ai loro strumenti, progettato specificamente per tenere traccia del numero di obiettivi dai quali sono riusciti a espellere con successo i membri di TeamPCP. Questo dettaglio suggerisce non solo una rivalità tecnica, ma una vera e propria competizione per il dominio del mercato nero dei dati e degli accessi. TeamPCP è balzato agli onori della cronaca nelle ultime settimane per una serie di attacchi di alto profilo che hanno scosso le istituzioni internazionali e il settore tecnologico. Tra le loro vittime più illustri figura l'infrastruttura cloud della Commissione Europea, oltre a una massiccia offensiva contro Trivy, uno scanner di vulnerabilità ampiamente utilizzato nel mondo dello sviluppo software moderno.
L'attacco a Trivy ha avuto un effetto a catena devastante, compromettendo indirettamente tutte le aziende che si affidavano a questo strumento per la sicurezza dei propri container, incluse realtà innovative come LiteLLM e la startup di reclutamento basata sull'intelligenza artificiale Mercor. In questo contesto, PCPJack sembra voler capitalizzare sul lavoro sporco già svolto dai suoi predecessori. La ricercatrice Alex Delamotte ha avanzato diverse ipotesi sull'identità e l'origine di questo nuovo gruppo. Esistono tre scenari plausibili che la comunità della cybersicurezza sta analizzando con estrema attenzione: il primo ipotizza che il gruppo sia composto da ex membri insoddisfatti di TeamPCP, mossi da un desiderio di vendetta o dalla volontà di mettersi in proprio portando con sé il know-how acquisito; la seconda teoria vede PCPJack come una banda rivale consolidata che ha deciso di colpire TeamPCP per indebolirne la posizione sul mercato; infine, la terza ipotesi suggerisce l'intervento di una terza parte esterna che ha deciso di replicare e migliorare gli strumenti di attacco di TeamPCP per fini puramente opportunistici.
Le analisi condotte dai laboratori di SentinelOne rivelano che i servizi presi di mira da PCPJack coincidono in gran parte con gli obiettivi storici di TeamPCP durante le ondate di attacco di dicembre 2023 e gennaio 2024. Questi eventi hanno preceduto quello che sembra essere stato un cambio radicale nella composizione o nella leadership del gruppo originale tra febbraio e marzo 2024. Oltre a colpire i sistemi già infetti, PCPJack effettua scansioni proattive su Internet alla ricerca di servizi vulnerabili e mal configurati. Tra questi figurano la celebre piattaforma di virtualizzazione cloud Docker e i database MongoDB, pilastri fondamentali di molte architetture aziendali moderne. La capacità di compromettere questi ambienti non solo garantisce l'accesso a enormi volumi di dati aziendali, ma fornisce anche la potenza di calcolo necessaria per ulteriori operazioni malevole su scala globale.
A differenza di molti altri gruppi che utilizzano i server compromessi per il mining di criptovalute, i membri di PCPJack sembrano focalizzati esclusivamente su obiettivi di natura finanziaria diretta e rapida. La loro strategia di monetizzazione si articola su tre pilastri principali: la rivendita delle credenziali rubate nei forum del Dark Web, la vendita dell'accesso persistente ai sistemi compromessi ad altri attori criminali (Initial Access Brokerage) e l'estorsione diretta nei confronti delle aziende colpite. L'assenza di software per il cryptojacking è interpretata da Alex Delamotte come una scelta strategica deliberata: il mining richiede tempi lunghi per generare profitti significativi e aumenta drasticamente il rischio di essere rilevati a causa dell'uso intensivo della CPU. Al contrario, il furto di dati e l'estorsione offrono un ritorno economico immediato e potenzialmente molto più elevato, mantenendo un profilo più basso all'interno dei sistemi monitorati.
Nelle fasi più recenti della loro campagna, gli hacker di PCPJack hanno iniziato a utilizzare domini ingannevoli che puntano ad attività di phishing mirato per il furto di password, oltre a creare falsi siti di supporto tecnico per indurre gli utenti a rivelare informazioni riservate o installare agenti di controllo remoto. Questo approccio multi-livello dimostra una notevole flessibilità tattica, combinando vulnerabilità tecniche e ingegneria sociale per massimizzare l'impatto delle loro azioni. La protezione contro tali minacce richiede ora un approccio di sicurezza più olistico, che non si limiti al rilevamento dei malware tradizionali ma monitori attivamente le anomalie nei comportamenti delle identità digitali e l'integrità delle configurazioni cloud aziendali.
L'emergere di PCPJack rappresenta un monito severo per tutte le organizzazioni che operano in ambienti cloud distribuiti. La rapidità con cui questi attori riescono a scalzare i propri concorrenti dimostra che essere già stati colpiti non rende immuni da nuovi attacchi, anzi, trasforma spesso l'infrastruttura compromessa in un obiettivo ancora più appetibile per altri predatori digitali che cercano una via d'accesso facilitata. La vigilanza costante, l'aggiornamento tempestivo di strumenti come Trivy e Docker e l'adozione di protocolli di autenticazione a più fattori sono oggi le uniche difese efficaci in un ecosistema cyber sempre più affollato, spietato e tecnologicamente avanzato.
