Cloud sotto tiro: la campagna PCPcat compromette 59.128 server in 48 ore

Una campagna di cyberspionaggio su larga scala, caratterizzata da un elevato livello di automazione, sta colpendo in modo sistematico l’infrastruttura cloud che supporta numerose applicazioni web moderne. In meno di 48 ore, decine di migliaia di server sono stati compromessi attraverso lo sfruttamento mirato di vulnerabilità note in framework ampiamente utilizzati.

A documentare l’operazione è un rapporto pubblicato dal Beelzebub Research Team, che ha identificato la campagna con il nome di PCPcat. L’attività è emersa grazie all’osservazione di un honeypot Docker e ha mostrato fin da subito una rapidità di esecuzione fuori dal comune.

Gli attaccanti hanno sfruttato le vulnerabilità CVE-2025-29927 e CVE-2025-66478 presenti in Next.js e React, riuscendo a compromettere 59.128 server in meno di due giorni.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il gruppo responsabile, riconoscibile dalla firma “PCP” inserita nei file malevoli, non si limita alla semplice alterazione dei siti web. L’obiettivo principale appare essere la raccolta sistematica di informazioni sensibili. Il malware è progettato per individuare credenziali cloud, chiavi SSH e file di configurazione contenenti variabili d’ambiente, in particolare i file .env, elementi che consentono ulteriori movimenti laterali all’interno delle reti compromesse.

Secondo i ricercatori, l’operazione presenta tratti tipici di attività di intelligence su vasta scala, con un’esfiltrazione di dati che avviene con modalità industriali. La catena di attacco si basa su tecniche avanzate che includono la manipolazione di payload JSON, consentendo agli aggressori di ottenere l’esecuzione di codice remoto sui sistemi vulnerabili.

Una volta ottenuto l’accesso, il malware stabilisce una persistenza installando una backdoor che utilizza GOST, un proxy SOCKS5, e FRP (Fast Reverse Proxy). In questo modo, i server compromessi vengono integrati in una botnet e trasformati in nodi controllabili da remoto.

Ciò che ha colpito maggiormente gli analisti è l’efficacia dell’operazione. A differenza di molte campagne automatizzate basate su tentativi casuali, PCPcat mostra un’elevata precisione. L’analisi diretta del server C2 ha permesso di confermare un tasso di successo dello sfruttamento pari al 64,6%, un valore anomalo che suggerisce l’uso di una lista di obiettivi selezionati oppure una diffusione molto ampia delle vulnerabilità non ancora corrette.

Durante l’indagine è emersa anche una grave debolezza nell’infrastruttura degli attaccanti. Il server C2, localizzato a Singapore, risultava completamente privo di meccanismi di autenticazione. Questa mancanza ha consentito ai ricercatori di accedere liberamente agli endpoint dell’API e di ricostruire l’estensione reale della campagna.

Dai dati raccolti è emerso che la modalità denominata “random_ips” stava scandagliando oltre 91.000 potenziali bersagli, senza apparenti criteri di selezione. Il ritmo dell’operazione è particolarmente sostenuto: circa 32 lotti di obiettivi vengono processati ogni giorno, con un incremento costante del numero di sistemi compromessi.

Se mantenuta a questa velocità, la campagna potrebbe arrivare a colpire oltre 1,2 milioni di server nell’arco di un mese, con conseguenze potenzialmente gravi per la sicurezza delle infrastrutture cloud esposte su Internet.

Alla luce di questi elementi, le organizzazioni che utilizzano applicazioni Next.js o React accessibili pubblicamente sono invitate ad applicare con urgenza le patch di sicurezza disponibili, a bloccare l’indirizzo IP del server C2 identificato (67.217.57[.]240) e a procedere alla rotazione di tutte le credenziali che potrebbero essere state esposte attraverso i file di ambiente.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.