{"id":796,"date":"2026-05-07T19:42:35","date_gmt":"2026-05-07T19:42:35","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/07\/pcpjack-credential-stealer-explota-5-cve-para-propagarse-como-gusanos-en-sistemas-en-la-nube-cyberdefensa-mx\/"},"modified":"2026-05-07T19:42:35","modified_gmt":"2026-05-07T19:42:35","slug":"pcpjack-credential-stealer-explota-5-cve-para-propagarse-como-gusanos-en-sistemas-en-la-nube-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/07\/pcpjack-credential-stealer-explota-5-cve-para-propagarse-como-gusanos-en-sistemas-en-la-nube-cyberdefensa-mx\/","title":{"rendered":"PCPJack Credential Stealer explota 5 CVE para propagarse como gusanos en sistemas en la nube \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han revelado detalles de un nuevo marco de robo de credenciales denominado PCPJack<\/strong> que apunta a la infraestructura de la nube expuesta y elimina cualquier artefacto vinculado a TeamPCP de los entornos.<\/p>\n

\u00abEl conjunto de herramientas recopila credenciales de la nube, contenedores, desarrolladores, productividad y servicios financieros, luego extrae los datos a trav\u00e9s de una infraestructura controlada por el atacante mientras intenta difundirlos a hosts adicionales\u00bb, dijo el investigador de seguridad de SentinelOne, Alex Delamotte. dicho<\/a> en un informe publicado hoy.<\/p>\n

PCPJack est\u00e1 dise\u00f1ado espec\u00edficamente para apuntar a servicios en la nube como Docker, Kubernetes, Redis, MongoDB, RayML y aplicaciones web vulnerables, lo que permite a los operadores propagarse como un gusano, as\u00ed como moverse lateralmente dentro de las redes comprometidas.<\/p>\n

Se considera que el objetivo final de la campa\u00f1a de ataque a la nube es generar ingresos il\u00edcitos para los actores de la amenaza mediante el robo de credenciales, fraude, spam, extorsi\u00f3n o reventa de acceso robado. El <\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Lo que hace que esta actividad sea notable es que comparte importantes coincidencias de objetivos con TeamPCP, un actor de amenazas que salt\u00f3 a la fama a fines del a\u00f1o pasado al explotar vulnerabilidades de seguridad conocidas (por ejemplo, reaccionar2shell<\/a>) y configuraciones err\u00f3neas en los servicios en la nube para incluir los puntos finales en una red en constante expansi\u00f3n para llevar a cabo el robo de datos y otras acciones posteriores a la explotaci\u00f3n.<\/p>\n

Al mismo tiempo, PCPJack carece de un componente de miner\u00eda de criptomonedas, a diferencia de TeamPCP. Si bien no se sabe por qu\u00e9 no se adopt\u00f3 esta obvia estrategia de monetizaci\u00f3n, las similitudes entre los dos grupos indican que PCPJack podr\u00eda ser obra de un ex miembro de TeamPCP que est\u00e1 familiarizado con el oficio del grupo.<\/p>\n

El punto de partida del ataque es un script de shell de arranque que se utiliza para preparar el entorno (como configurar el host de carga \u00fatil) y descargar herramientas de la siguiente etapa, mientras simult\u00e1neamente toma medidas para infectar su propia infraestructura, terminar y eliminar procesos o artefactos asociados con TeamPCP, instalar Python, establecer persistencia, descargar seis scripts de Python, iniciar el script de orquestaci\u00f3n y eliminarse.<\/p>\n

\"\"<\/a><\/div>\n

Las seis cargas \u00fatiles de Python son las siguientes:<\/p>\n