Foto: The Hacker News
Hunt.io navodi da je akter prijetnje poznat kao PCPJack preuzeo cloud poslužitelje povezane s Amazon Web Servicesom, Google Cloudom i Microsoft Azureom te ih pretvorio u prikrivenu SMTP mrežu za prosljeđivanje e-pošte. Tvrtka kaže da su kompromitirani poslovni poslužitelji u SAD-u, Europi i Aziji neprimjetno pretvoreni u SMTP proxyje, provjereni za mogućnost relayja pošte i sinkronizirani prema downstream potrošaču svakih pet minuta.
Istraživačka tvrtka navodi i da je na C2 poslužitelju na adresi 213.136.80[.]73 pronašla izvorni kod, kompilirane binarne datoteke, zapisnike stanja implementacije, alate za skeniranje interneta, eksploatacijske alate i živu Sliver konfiguraciju, i to nakon što je napadač ostavio dva otvorena direktorija bez ikakve autentikacije. PCPJack je, prema SentinelOneu, prvi put otkriven u travnju 2026., nakon što je identificiran okvir za krađu vjerodajnica koji je posebno ciljao cloud usluge.
U jednom od otvorenih direktorija Hunt.io je pronašao Sliver-integrirani alat za implementaciju SMTP proxyja, kao i Chisel alate za tuneliranje i proxy binarne datoteke za većinu Linux arhitektura, uključujući AMD64, ARM64 i x86. Na strani žrtve binarna se datoteka postavlja kao skrivena datoteka s točkom na početku naziva i ostaje trajno zapisana kao /var/tmp/.xs. U istim su direktorijima bili i skripte za implementaciju koje učitavaju Sliver C2 konfiguraciju i filtriraju Linux beacone koji su se javili u posljednjih deset minuta.
Hunt.io navodi da svaki beacon dobiva SOCKS5 proxy port izveden deterministički iz MD5 hasha njegova Sliver UUID-a, mapiran u raspon 10000-14999, pa isti beacon pri svakom pokretanju završava na istom portu. Skripta može pokrenuti i SMTP provjeru koja testira izlazni pristup prema smtp.gmail[.]com:587, a hostovi koji padnu na toj provjeri preskaču se s izlaznim kodom nula. Tvrtka dodaje da su beaconi obrađivani u skupinama od 50, uz čekanje od 25 minuta nakon prijenosa i 15 minuta nakon naredbi za izvršavanje, kako bi se prilagodili sporijim intervalima javljanja.
Kasnije inačice skripti za implementaciju, navodi Hunt.io, uklonile su SMTP provjeru i logiku grupiranja. Na C2 poslužitelju se pritom izvršava i Python skripta chisel_verifier.py kao trajni pozadinski daemon koji svakih 60 sekundi popisuje aktivne Chisel portove preko ss -tlnp, testira svaki novi port za SMTP mogućnosti i uklanja neuspjele ili prekinute tunele iz aktivnog skupa. Potvrđeni proxyji nadopunjuju se izlaznom IP adresom, državom i ASN-om putem servisa poput api.ipify[.]org i ip-api[.]com, a popisi proxyja sinkroniziraju se svakih pet minuta preko SCP-a na poseban downstream poslužitelj na 38.242.204[.]245.
Hunt.io navodi da taj poslužitelj trenutačno nije dostupan te da je konačna svrha operacije u ovoj fazi nejasna. Tvrtka opisuje 230-čvorni rezultat kao vidljivi ishod kampanje i dodaje da se iz oporavljenih datoteka ne može utvrditi radi li se o jednom operateru koji iterira ili više aktera koji dijele istu infrastrukturu. Istodobno navodi da se provjerena lista proxyja sinkronizira svakih pet minuta i da je netko konzumira, no za što točno — spam, phishing ili nešto treće — iz pronađene infrastrukture nije razjašnjeno.
Vezane vijesti
