TeamPCP

Visão geral

TeamPCP é um grupo de cibercrime organizado, ativo desde setembro de 2025, especializado em ataques à cadeia de suprimentos de software. O grupo é notório por comprometer infraestruturas de desenvolvimento, incluindo pipelines de CI/CD, registros de pacotes (como npm e PyPI) e ferramentas de segurança, visando a exfiltração em larga escala de credenciais e a monetização através de parcerias com grupos de ransomware.

Contexto histórico e desenvolvimento

O grupo surgiu em meados de 2025, focando inicialmente na exploração de vulnerabilidades em ecossistemas de código aberto. Diferente de grupos de espionagem tradicionais, o TeamPCP opera com uma mentalidade voltada ao lucro e à operacionalização em massa. Eles ganharam destaque ao comprometer ferramentas amplamente utilizadas, como o scanner Trivy, transformando infraestruturas de segurança em vetores de ataque.

O grupo utiliza técnicas avançadas de automação, sendo capaz de publicar centenas de pacotes maliciosos em poucas horas. Em 2026, o grupo expandiu suas operações para incluir a monetização direta de credenciais roubadas, estabelecendo parcerias com operações de Ransomware-as-a-Service (RaaS), como o grupo Vect, além de desenvolver seu próprio projeto de ransomware, o CipherForce. O TeamPCP mantém uma presença pública ativa em plataformas como o Telegram, onde busca atrair afiliados para suas campanhas.

Linha do tempo

• Setembro de 2025: Início das atividades documentadas do TeamPCP.
• Início de 2026: Aumento significativo na escala de ataques, com foco em pacotes de IA/ML e infraestrutura de nuvem.
• Março de 2026: Formalização da parceria com o grupo de ransomware Vect e anúncio do projeto CipherForce.
• Abril de 2026: Identificação de ferramentas de autorreplicação, como o PCPJack, operando em ambientes anteriormente comprometidos pelo TeamPCP.

Principais atores

• TeamPCP: O grupo central, operando sob diversos pseudônimos (ex.: PCPcat, ShellForce, CipherForce).
• Vect Ransomware Group: Parceiro de RaaS que utiliza credenciais roubadas pelo TeamPCP para ataques de extorsão.
• Comunidade de Segurança: Pesquisadores e organizações (como SANS e Cloud Security Alliance) que monitoram e documentam as táticas do grupo.

Termos importantes

• Ataque à Cadeia de Suprimentos: Técnica onde o atacante compromete um componente de software confiável para atingir todos os usuários a jusante.
• CI/CD (Integração Contínua/Entrega Contínua): Alvo primário do grupo para injetar código malicioso em fluxos de trabalho de desenvolvimento.
• ICP Canister: Tecnologia utilizada pelo grupo como "dead-drop" para servidores de comando e controle (C2), dificultando a remoção por autoridades.
• CipherForce: Projeto proprietário de ransomware do TeamPCP.
• PCPJack: Framework de autorreplicação identificado em ambientes comprometidos, associado ao ecossistema do grupo.