Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Un verme della sabbia esce dalla sabbia per inghiottire un soldato nel contesto di una guerra nel cloud tra worm caic e teampcp.

Il Worm CAI scaccia TeamPCP dai server infetti: la guerra nel cloud è appena iniziata

8 Luglio 2026 14:55
In sintesi

Un nuovo worm chiamato Cloud AI Infrastructure Attack Framework (CAI) ha iniziato ad attaccare server Kubernetes, Docker, Redis e altri strumenti cloud. Scoperto il 15 giugno dagli specialisti di Hunt.io, CAI ruba credenziali, estrae criptovaluta ed elimina programmi concorrenti. Il malware coordina gli attacchi tramite un server centrale e ha già infettato diverse reti.

L’infrastruttura cloud è diventata un’arena di lotta non solo tra difensori e aggressori, ma anche tra gli stessi gruppi criminali: il nuovo worm CAI infetta i server, ruba credenziali, estrae criptovaluta ed elimina i programmi della “concorrenza”.

Cloud AI Infrastructure Attack Framework, o CAI, è una rete centralizzata di dispositivi infetti. Il malware attacca gli strumenti Docker, Kubernetes, Redis, ecc., Kubelet e Ray disponibili su Internet, che le aziende utilizzano per eseguire applicazioni e gestire sistemi cloud.

Gli specialisti di Hunt.io hanno scoperto per la prima volta l’infrastruttura relativa a CAI il 15 giugno. Nelle tre settimane successive, l’operatore è passato dai test agli attacchi e all’infezione delle reti.

Advertising

Nel codice sorgente sono stati trovati segni dell’aiuto di modelli linguistici e alcune tecniche ricordavano i metodi dei worm cloud PCPJack e TeamPCP.

CAI scansiona Internet alla ricerca di servizi vulnerabili, inserisce gli obiettivi trovati in una coda automatica e coordina gli attacchi attraverso un unico server di controllo.

Dopo la penetrazione, sul computer vengono scaricati un programma di mining di criptovaluta, un infostealer e un canale di accesso remoto nascosto in Python.

I singoli moduli cercano e terminano i processi TeamPCP e PCPJack ed eliminano anche i file associati ai concorrenti. In questo modo l’operatore libera le risorse del sistema infetto e cerca di mantenere il controllo esclusivo sui dati e sulla potenza di calcolo rubati.

I registri dei server di controllo hanno mostrato tentativi attivi di sfruttamento e le transazioni con portafogli di criptovaluta hanno confermato diverse infezioni riuscite.

Advertising

CAI non è ancora un dispositivo complesso, ma si sta sviluppando rapidamente e si è già trasformato da progetto di prova in una piattaforma di lavoro per attacchi all’infrastruttura cloud.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response