El reciente incidente vinculado al grupo TeamPCP ha reavivado el debate sobre la seguridad en la nube, especialmente tras la exposición de datos europeos en infraestructuras cloud.
TeamPCP: Una plataforma de cibercrimen nativa de la nube
TeamPCP, grupo también conocido bajo los alias DeadCatx3, PCPcat, PersyPCP y ShellForce, opera como una plataforma de cibercrimen especializada en entornos nativos de la nube. Se ha documentado actividad de este actor desde al menos noviembre de 2025, aunque sus primeras interacciones en Telegram se remontan al 30 de julio de 2025.
Alrededor del 25 de diciembre de 2025, se detectó una campaña impulsada por un gusano que atacó sistemáticamente infraestructuras cloud. Para lograr el acceso, el grupo explotó APIs de Docker y Kubernetes, paneles de Ray, servidores Redis y la vulnerabilidad React2Shell (CVE-2025-55182), la cual presenta una puntuación de criticidad CVSS de 10.0.
Objetivos y metodología de la «Operación PCPcat»
La actividad, documentada por Beelzebub en diciembre de 2025 bajo el nombre de «Operation PCPcat», tenía como fin primordial la construcción de una infraestructura de escaneo y proxy distribuida a gran escala. Según Assaf Morag, investigador de seguridad de Flare, una vez comprometidos los servidores, los atacantes procedieron a la exfiltración de datos, el despliegue de ransomware, la extorsión y el minado de criptomonedas.
Además de estas actividades, el grupo ha utilizado la infraestructura comprometida para otros fines, tales como el alojamiento de datos y la creación de relevos de comando y control (C2).
Alcance global y víctimas
El grupo mantiene un canal de Telegram con más de 700 miembros, donde publican información robada de diversas víctimas. Hasta la fecha, se han identificado afectados en los siguientes países:
- Canadá
- Serbia
- Corea del Sur
- Emiratos Árabes Unidos
- Estados Unidos
