O grupo de hackers TeamPCP está direcionando ataques a clusters Kubernetes com um script malicioso que apaga todos os dados de máquinas configuradas para o Irã. Este grupo é responsável por um recente ataque à cadeia de suprimentos no scanner de vulnerabilidades Trivy e por uma campanha baseada em NPM chamada ‘CanisterWorm’, que começou em 20 de março. A nova campanha utiliza o mesmo código de comando e controle (C2) e o mesmo caminho de instalação do backdoor que foram observados nos incidentes anteriores do CanisterWorm, mas com uma diferença significativa: um payload destrutivo que visa especificamente sistemas iranianos. O malware é projetado para destruir qualquer máquina que corresponda ao fuso horário e à localidade do Irã, independentemente da presença do Kubernetes. Em sistemas identificados como iranianos, o script apaga todos os diretórios principais do sistema, enquanto em outros locais, ele instala um backdoor. A Aikido, empresa de segurança de aplicações, destaca que a nova versão do malware também utiliza propagação via SSH, buscando credenciais válidas em logs de autenticação. Os pesquisadores identificaram indicadores de atividade maliciosa, como conexões SSH de saída com configurações específicas e conexões ao Docker API. Este cenário representa uma ameaça significativa, especialmente para organizações que operam em ambientes Kubernetes.
Fonte: https://www.bleepingcomputer.com/news/security/teampcp-deploys-iran-targeted-wiper-in-kubernetes-attacks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
23/03/2026 • Risco: ALTO
MALWARE
Grupo de hackers TeamPCP ataca clusters Kubernetes com script destrutivo
RESUMO EXECUTIVO
O ataque do TeamPCP destaca a necessidade de vigilância contínua e medidas de segurança robustas em ambientes Kubernetes. A possibilidade de um payload destrutivo e a instalação de backdoors representam riscos significativos que podem afetar a operação e a conformidade das organizações brasileiras.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido à destruição de dados e interrupção de serviços.
Operacional
Destruição de dados em sistemas iranianos e instalação de backdoors em outros locais.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Infraestrutura Crítica']
📊 INDICADORES CHAVE
Uso de um script que apaga todos os diretórios principais em sistemas iranianos.
Indicador
Instalação de backdoor em nós fora do Irã.
Contexto BR
Identificação de conexões SSH maliciosas a partir de hosts comprometidos.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a configuração de clusters Kubernetes e monitorar logs de autenticação para atividades suspeitas.
2
Implementar regras de firewall para bloquear conexões SSH não autorizadas e revisar políticas de acesso ao Docker API.
3
Monitorar continuamente conexões de rede e atividades em sistemas críticos, especialmente aqueles configurados para o Irã.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de ataques direcionados que podem comprometer a integridade de sistemas críticos, especialmente em ambientes que utilizam Kubernetes.
⚖️ COMPLIANCE
Implicações legais relacionadas à proteção de dados e conformidade com a LGPD.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
