Киберпреступная группа, изначально мотивированная финансовой выгодой, переключилась на геополитические деструктивные действия, запустив сложного червя-випера, специально нацеленного на системы в Иране. Вредоносное ПО, получившее название "CanisterWorm", автономно распространяется через неправильно сконфигурированные облачные сервисы и уничтожает данные на зараженных машинах, для которых установлен часовой пояс Ирана или персидский язык в качестве языка системы по умолчанию. Это представляет собой значительную эскалацию по сравнению с предыдущей фокусировкой группы на кражу данных и вымогательство, знаменуя опасное сближение преступных тактик и целевых разрушительных атак.
Кампания приписывается относительно новому субъекту угроз, известному как TeamPCP. По данным экспертов по кибербезопасности, атака-випер материализовалась на прошлых выходных. TeamPCP впервые получила известность в декабре 2025 года за компрометацию корпоративных облачных сред с использованием самораспространяющегося червя. Это первоначальное вредоносное ПО нацеливалось на открытые API Docker, кластеры Kubernetes, серверы Redis и известную уязвимость React2Shell. Стандартный *modus operandi* группы включал латеральное перемещение по сетям жертв для кражи учетных данных аутентификации с последующими требованиями выкупа, передаваемыми через Telegram.
Компания безопасности Flare опубликовала подробный профиль TeamPCP в январе, выделив их уникальную операционную модель. Группа не полагается на новые zero-day уязвимости, а вместо этого использует в злонамеренных целях открытые плоскости управления облачных сервисов в огромных масштабах. Они достигают этого за счет крупномасштабной автоматизации и интеграции известных методов атак, преимущественно нацеливаясь на облачную инфраструктуру, а не на традиционные конечные точки. Их атаки в значительной степени сфокусированы на крупных облачных провайдерах: на Azure (61%) и AWS (36%) приходится 97% всех скомпрометированных серверов в их кампаниях. Как отметил аналитик Flare Ассаф Мораг, группа "индустриализирует существующие уязвимости, ошибки конфигурации и переработанные инструменты в собственную облачную платформу для эксплуатации", эффективно создавая самораспространяющуюся преступную экосистему из открытой инфраструктуры.
В связанном развитии событий, подчеркивающем растущие возможности группы, 19 марта TeamPCP осуществила атаку на цепочку поставок программного обеспечения. Они скомпрометировали популярный сканер уязвимостей Trivy, разработанный Aqua Security, внедрив вредоносное ПО для кражи учетных данных в его официальные релизы на GitHub Actions. В то время как Aqua Security подтвердила удаление вредоносных файлов, исследователи из компании безопасности Wiz отмечают, что злоумышленники успешно использовали этот доступ для продвижения своих кампаний по вторжению в облака. Появление випера CanisterWorm в сочетании с этой компрометацией цепочки поставок сигнализирует о том, что TeamPCP быстро расширяет свой инструментарий от чисто финансовых преступлений до включения высокодеструктивных, политически ангажированных атак, создавая сложную угрозу как для корпоративной, так и для национальной безопасности.
