Nada de minería, solo espionaje: por qué los nuevos ataques a la nube son aún más peligrosos para las empresas
Los cibercriminales cambiaron de táctica y ahora inspeccionan sistemáticamente cada archivo oculto.
PCPJack convirtió la caza de secretos en la nube en una limpieza automatizada de infraestructuras. La nueva herramienta no solo roba claves y contraseñas, sino que intenta propagarse por servicios expuestos, desplazando a TeamPCP — un grupo que anteriormente explotaba activamente fallos en sistemas en la nube y aplicaciones web vulnerables.
La campaña fue reportada especialistas de SentinelOne. Según el autor del informe, PCPJack recopila credenciales de servicios en la nube, de contenedores, de desarrollo, de oficina y financieros, y luego envía los datos a través de la infraestructura de los atacantes. Entre los objetivos están Docker, Kubernetes, Redis, MongoDB, RayML y aplicaciones web vulnerables.
La característica principal de PCPJack es un comportamiento similar al de un gusano de red. Tras infiltrarse en un entorno, la herramienta prepara el sistema para su infección, descarga los componentes siguientes, se afianza, borra los rastros de su instalador y ejecuta una serie de scripts en Python. Uno de los módulos se encarga de la gestión del ataque, el robo de secretos locales y la propagación mediante CVE-2025-55182, CVE-2025-29927, CVE-2026-1357, CVE-2025-9501 y CVE-2025-48703. Se utiliza Telegram como canal de control.
Otros componentes extraen claves y tokens, cifran los datos robados antes de enviarlos, escanean rangos en la nube de AWS, Google Cloud, Microsoft Azure, Cloudflare, Cloudfront y Fastly, y también buscan nuevos objetivos entre Docker, Kubernetes, MongoDB, RayML y Redis. Las listas de posibles víctimas se obtienen de archivos Parquet de Common Crawl, el archivo público de datos de rastreo web.
SentinelOne relaciona la campaña con TeamPCP por la superposición de objetivos y tácticas, pero señala una diferencia notable. PCPJack no ejecuta mineros e incluso elimina funciones relacionadas con el minado de TeamPCP. Además, la herramienta recopila métricas sobre el éxito al desplazar a TeamPCP de entornos comprometidos, lo que indica no solo ataques contra sistemas en la nube vulnerables hallados al azar, sino también un interés directo en la infraestructura de un competidor.
Un análisis adicional identificó otro escenario que adapta Sliver a la arquitectura del procesador y comprueba el Instance Metadata Service, las cuentas de servicio de Kubernetes y las instancias de Docker. Entre los servicios de interés para los atacantes se mencionan Anthropic, Digital Ocean, Discord, Google API, Grafana Cloud, HashiCorp Vault, OnePassword y OpenAI. Según SentinelOne, el acceso robado podría emplearse para fraude, spam, extorsión o reventa.