PCPJack secuestra 230 servidores AWS, Google Cloud y Azure para una red de retransmisión SMTP encubierta – CYBERDEFENSA.MX
El actor de amenazas conocido como PCPJack ha secuestrado servidores en la nube asociados con Amazon Web Services (AWS), Google Cloud y Microsoft Azure para crear una red encubierta de retransmisión de correo electrónico SMTP.
«Los servidores empresariales comprometidos en EE. UU., Europa y Asia se convirtieron silenciosamente en servidores proxy SMTP, se verificó su capacidad de retransmisión de correo y se sincronizaron con un consumidor intermedio cada cinco minutos», dijo Hunt.io en un comunicado. «La infraestructura todavía estaba funcionando cuando la encontramos».
La empresa de inteligencia de amenazas dicho encontró código fuente, archivos binarios compilados, registros de estado de implementación, escáneres de Internet, herramientas de explotación y una configuración de Sliver en vivo después de que el actor de amenazas detrás de la operación dejó dos directorios abiertos en un servidor de comando y control (C2) («213.136.80[.]73») sin ninguna autenticación.
PCPJack fue descubierto por primera vez por SentinelOne en abril de 2026 después de que identificó un marco de robo de credenciales que apunta específicamente a los servicios en la nube, mientras tomaba medidas para terminar y eliminar procesos o artefactos asociados con TeamPCP, otro notorio grupo de piratería que ha llamado la atención en los últimos meses por sus ataques a la cadena de suministro de software.
Organizado en uno de los directorios abiertos. Astilla-Kit de herramientas de implementación de proxy SMTP integrado, junto con tunelización Chisel y binarios de proxy para la mayoría de las arquitecturas de CPU de Linux, como AMD64, ARM64 y x86. En el lado de la víctima, el binario se elimina como un archivo oculto con prefijo de punto y se conserva en «/var/tmp/.xs».
También se encuentran en los directorios scripts de implementación diseñados para cargar la configuración del cliente Sliver C2 y filtrar las balizas de Linux que se han registrado en los últimos diez minutos. Las balizas son implantes que llaman periódicamente al servidor C2 a intervalos regulares para registrarse y recuperar comandos.
«Cada baliza recibe un puerto proxy SOCKS5 derivado de manera determinista de un hash MD5 de su UUID Sliver, asignado en el rango 10000-14999», señaló Hunt.io. «La misma baliza siempre se asigna al mismo puerto en todas las ejecuciones, lo que elimina la necesidad de un registro de puerto compartido».
El script también es capaz de ejecutar una puerta de calidad SMTP que busca acceso saliente a smtp.gmail.[.]Com:587. Los hosts que no pasan esta verificación se omiten con un código de salida de cero.
«Esta puerta define el propósito de la operación: los hosts que no pueden transmitir correo electrónico no tienen ningún valor para este canal», añadió la empresa de ciberseguridad. «Las balizas se procesan en lotes de 50, con una espera de 25 minutos después de la carga y 15 minutos después de la ejecución de los comandos, para dar cabida a registros de balizas a intervalos lentos».
Se ha descubierto que las iteraciones posteriores de los scripts de implementación eliminan la puerta SMTP y la lógica de procesamiento por lotes. También está presente un script de diagnóstico que selecciona cinco balizas activas y les asigna a cada una un comando de shell que verifica lo siguiente:
- Presencia de archivos binarios de Chisel en rutas de caída conocidas
- Se está ejecutando un proceso de Chisel
- Espacio en disco
- Accesibilidad del puerto 9000 en el C2, y
- Presencia de artefactos de persistencia, como la entrada cron o el servicio systemd
Además, el servidor C2 ejecuta un script Python llamado «chisel_verifier.py» como un demonio en segundo plano persistente, que enumera los puertos activos del túnel Chisel a través de ss -tlnp cada 60 segundos, prueba la capacidad SMTP de cada nuevo puerto y elimina los túneles fallidos o descartados del grupo activo.
Los proxies verificados se enriquecen con la dirección IP de salida, el país y el ASN a través de servicios como api.ipify.[.]org y ip-api[.]com. Luego, las listas de proxy se sincronizan cada cinco minutos a través del Protocolo de copia segura (SCP) con un servidor descendente independiente en 38.242.204.[.]245. Actualmente no se puede acceder al servidor. El objetivo final de la operación aún no está claro en este momento.
«El resultado de 230 nodos es el resultado observable. Si esta progresión refleja un solo operador iterando o múltiples actores que comparten la misma infraestructura no se puede determinar a partir de los archivos recuperados», dijo Hunt.io, describiéndola como una campaña oportunista.
«La lista de proxy verificada se sincroniza cada cinco minutos con ese servidor y alguien la está consumiendo. Ya sea para spam, phishing o cualquier otra cosa, la infraestructura para realizar entregas a escala claramente estaba funcionando».
