Evita que tu servidor se convierta en proxy del botnet TeamPCP: guía rápida
Aprovechar recursos ajenos es solo la punta del iceberg de este complejo entramado.
A finales de 2025 se detectó una nueva ola de ataques en entornos en la nube, en los que la apuesta no es infectar estaciones de trabajo sino apoderarse de las interfaces de gestión de contenedores y clústeres. Los servicios accesibles públicamente y los paneles de administración mal configurados son los objetivos, y la infección luego se propaga como un gusano, convirtiendo la infraestructura de la víctima en parte de una red ajena.
Según el informe de la empresa Flare, el grupo TeamPCP, también conocido como PCPcat, ShellForce y DeadCatx3, desplegó en diciembre de 2025 una campaña contra entornos cloud-native. Como puntos de entrada se emplearon las API públicas de Docker, clústeres de Kubernetes, paneles Ray, servidores Redis, así como la vulnerabilidad React2Shell en aplicaciones React y Next.js, asociada a CVE-2025-29927. El objetivo de la operación era crear una infraestructura distribuida de proxies y escáneres, tras lo cual en los servidores comprometidos se ejecutaban robo de datos, extorsión, cifrado y minería de criptomonedas.
Los autores del informe señalan que la fortaleza de TeamPCP no reside en exploits únicos, sino en la automatización y en la "construcción de una canalización" con técnicas conocidas y herramientas de código abierto. Tras comprometer un nodo, los scripts maliciosos despliegan tunelización y proxies, añaden servicios para consolidar su presencia, inician el escaneo de Internet en busca de nuevos objetivos y, al detectar Kubernetes, cambian a una rama de acciones separada que se propaga por los pods e instala componentes privilegiados para acceso persistente.
En la fase observada de ataques a través de Docker, los investigadores identificaron 185 servidores afectados con un patrón típico de comandos, lo que permitió reconstruir la mecánica del despliegue masivo. Paralelamente se detectaron indicios del uso de Sliver como plataforma de control posterior al acceso, y para monetizar la potencia de cálculo se empleó XMRig.
La campaña estuvo acompañada por la publicación de datos robados y la exhibición de resultados en Telegram, donde las filtraciones se usaron como prueba de "éxitos" y como forma de reforzar la reputación en el entorno criminal. Entre los ejemplos se menciona el incidente con la plataforma vietnamita de selección de personal JobsGO, donde en enero de 2026 se publicó en la clandestinidad una base de aproximadamente 2,325,285 registros con currículums y datos personales. En el conjunto de filtraciones predominan organizaciones de países occidentales, y por perfil sectorial son habituales el comercio electrónico, las finanzas y recursos humanos.
Se subraya aparte el sesgo "en la nube" en la elección de objetivos. En la telemetría citada por los autores, el 97% de los servidores comprometidos correspondieron a Azure y AWS, con participaciones estimadas del 61% y el 36% respectivamente. Esto respalda la conclusión de que los atacantes buscan sobre todo cargas públicas en la nube, que resultan fáciles de convertir en escáneres, proxies, plataformas de alojamiento y nodos para ataques posteriores.