De bedreigingsacteur bekend als PCPJack heeft cloudservers gekaapt die verband houden met Amazon Web Services (AWS), Google Cloud en Microsoft Azure om een geheim SMTP-e-mailrelaynetwerk te creëren.
“Gecompromitteerde zakelijke servers in de VS, Europa en Azië werden stilletjes omgezet in SMTP-proxy’s, gecontroleerd op mailrelay-mogelijkheden en elke vijf minuten gesynchroniseerd met een downstream-consument”, aldus Hunt.io in een verklaring. “De infrastructuur draaide nog toen we hem vonden.”
Het bedrijf voor bedreigingsinformatie zei dat het de broncode had gevonden, binaire bestanden, logboeken van de implementatiestatus, internetscanners, exploitatietools en een live Sliver-configuratie had gevonden nadat de bedreigingsactor achter de operatie twee open mappen had achtergelaten op een command-and-control (C2) server (“213.136.80(.)73”) zonder enige authenticatie.
PCPJack werd voor het eerst ontdekt door SentinelOne in april 2026 nadat het een raamwerk voor diefstal van inloggegevens had geïdentificeerd dat zich specifiek richt op cloudservices, terwijl het stappen onderneemt om processen of artefacten te beëindigen en te verwijderen die verband houden met TeamPCP, een andere beruchte hackgroep die de afgelopen maanden de aandacht heeft getrokken vanwege zijn aanvallen op de softwaretoevoerketen.
Geënsceneerd in een van de open directories Sliver-geïntegreerde SMTP-proxy-implementatietoolkit, samen met Chisel-tunneling en proxy-binaire bestanden voor de meeste Linux CPU-architecturen, zoals AMD64, ARM64 en x86. Aan de kant van het slachtoffer wordt het binaire bestand verwijderd als een verborgen bestand met een puntvoorvoegsel en blijft het staan op “/var/tmp/.xs.”
In de mappen zijn ook implementatiescripts te vinden die zijn ontworpen om de Sliver C2-clientconfiguratie te laden en te filteren op Linux-bakens die in de afgelopen tien minuten zijn ingecheckt. Beacons zijn implantaten die periodiek met regelmatige tussenpozen naar de C2-server bellen om in te checken en opdrachten op te halen.
“Elk baken ontvangt een SOCKS5-proxypoort die deterministisch is afgeleid van een MD5-hash van zijn Sliver UUID, toegewezen in het bereik 10000-14999”, merkte Hunt.io op. “Hetzelfde baken wordt altijd toegewezen aan dezelfde poort tijdens runs, waardoor de noodzaak voor een gedeeld poortregister wordt geëlimineerd.”
Het script kan ook een SMTP-kwaliteitspoort uitvoeren die onderzoekt naar uitgaande toegang tot smtp.gmail(.)com:587. Hosts die deze controle niet doorstaan, worden overgeslagen met de afsluitcode nul.
“Deze poort definieert het doel van de operatie: hosts die geen e-mail kunnen doorgeven, hebben geen waarde voor deze pijplijn”, voegde het cyberbeveiligingsbedrijf eraan toe. “Beacons worden verwerkt in batches van 50, met een wachttijd van 25 minuten na het uploaden en 15 minuten na het uitvoeren van opdrachten, om bakenchecks met langzame intervallen mogelijk te maken.”
Het is gebleken dat daaropvolgende iteraties van de implementatiescripts de SMTP-poort en de batchlogica verwijderen. Ook aanwezig is een diagnostisch script dat vijf actieve bakens selecteert en ze elk een shell-commando geeft dat controleert op het volgende:
- Aanwezigheid van beitelbinaire bestanden op bekende droppaden
- Er wordt een beitelproces uitgevoerd
- Schijfruimte
- Bereikbaarheid van poort 9000 op de C2, en
- Aanwezigheid van persistentieartefacten, zoals de cron-invoer of systemd-service
Bovendien voert de C2-server een Python-script uit met de naam “chisel_verifier.py” als een persistente achtergronddaemon, die elke 60 seconden actieve Chisel-tunnelpoorten opsomt via ss -tlnp, elke nieuwe poort test op SMTP-mogelijkheden en mislukte of verwijderde tunnels uit de actieve pool verwijdert.
Geverifieerde proxy’s zijn verrijkt met exit-IP-adres, land en ASN via services zoals api.ipify(.)org en ip-api(.)com. De proxylijsten worden vervolgens elke vijf minuten via het Secure Copy Protocol (SCP) gesynchroniseerd met een aparte downstream-server op 38.242.204(.)245. De server is momenteel niet toegankelijk. Het einddoel van de operatie blijft in dit stadium onduidelijk.
“De uitkomst met 230 knooppunten is het waarneembare resultaat. Of deze progressie een weerspiegeling is van een enkele operator die itereert of van meerdere actoren die dezelfde infrastructuur delen, kan niet worden bepaald op basis van de herstelde bestanden”, zei Hunt.io, die het omschreef als een opportunistische campagne.
“De geverifieerde proxylijst wordt elke vijf minuten gesynchroniseerd met die server, en iemand gebruikt deze lijst. Of het nu om spam, phishing of iets anders gaat, de infrastructuur om op grote schaal te leveren draaide duidelijk.”
