تحول مجموعة إجرامية إلكترونية ذات دوافع مالية نحو التسبب في اضطرابات جيوسياسية، حيث أطلقت دودة ممحية متطورة تستهدف على وجه التحديد الأنظمة في إيران. ينتشر هذا البرنامج الضار، الملقب بـ "CanisterWorm"، ذاتيًا عبر خدمات السحابة الإلكترونية غير المُهيأة بشكل صحيح ويدمر البيانات على الأجهزة المصابة المُهيأة على التوقيت المحلي لإيران أو التي تم تعيين اللغة الفارسية كلغة النظام الافتراضية. يمثل هذا تصعيدًا كبيرًا من تركيز المجموعة السابق على سرقة البيانات والابتزاز، مما يعلن عن تقارب خطير بين التكتيكات الإجرامية والهجمات التدميرية المستهدفة.
يُنسب هذا الحملة إلى جهة تهديد جديدة نسبيًا تعرف باسم TeamPCP. وفقًا لخبراء الأمن السيبراني، تجسد هجوم المحو خلال عطلة نهاية الأسبوع الماضية. اكتسبت TeamPCP سمعتها لأول مرة في ديسمبر 2025 بعد اختراقها لبيئات السحابة الإلكترونية المؤسسية باستخدام دودة ذاتية الانتشار. استهدف هذا البرنامج الضار الأولي واجهات برمجة تطبيقات Docker المكشوفة، ومجموعات Kubernetes، وخوادم Redis، بالإضافة إلى ثغرة React2Shell المعروفة. تضمن الأسلوب التشغيلي القياسي للمجموعة التحرك أفقيًا عبر شبكات الضحايا لسرقة بيانات اعتماد المصادقة، يليها تقديم مطالب الابتزاز عبر تطبيق Telegram.
نشرت شركة الأمن Flare ملفًا تفصيليًا عن TeamPCP في يناير، مسلطة الضوء على نموذجهم التشغيلي الفريد. لا تعتمد المجموعة على ثغرات يوم الصفر الجديدة، بل تسلح واجهات تحكم السحابة المكشوفة على نطاق واسع. يحققون ذلك من خلال الأتمتة واسعة النطاق ودمج تقنيات الهجوم المعروفة، مستهدفين في الغالب البنية التحتية السحابية بدلاً من نقاط النهاية التقليدية. تتركز هجماتهم بشكل كبير على مزودي الخدمات السحابية الكبرى، حيث يمثل Azure (بنسبة 61٪) و AWS (بنسبة 36٪) معًا 97٪ من جميع الخوادم المخترقة في حملاتهم. كما لاحظ محلل Flare، أساف موراج، فإن المجموعة "تحول الثغرات الحالية، والإعدادات الخاطئة، والأدوات المعاد تدويرها إلى منصة استغلال سحابية أصيلة"، مما يخلق بشكل فعال نظامًا إجراميًا ذاتي الانتشار من البنية التحتية المكشوفة.
في تطور ذي صلة يؤكد على قدرات المجموعة المتطورة، نفذت TeamPCP هجومًا على سلسلة توريد البرامج في 19 مارس. اخترقوا الماسح الضوئي للثغرات الشهير Trivy، المطور من قبل Aqua Security، عن طريق حقن برنامج ضار يسرق بيانات الاعتماد في إصداراته الرسمية على GitHub Actions. بينما أكدت Aqua Security إزالة الملفات الضارة، يلاحظ الباحثون من شركة الأمن Wiz أن المهاجمين استغلوا هذا الوصول بنجاح لتعزيز حملات اختراق السحابة الخاصة بهم. يشير ظهور دودة المحو CanisterWorm، مجتمعة مع هذا الاختراق لسلسلة التوريد، إلى أن TeamPCP توسع بسرعة مجموعة أدواتها من الجريمة المالية البحتة لتشمل هجمات شديدة الإضطراب ومحاذية سياسيًا، مما يشكل تهديدًا معقدًا للبنى التحتية الأمنية المؤسسية والوطنية على حد سواء.
