Visão geral
TeamPCP é um grupo de cibercrime organizado, ativo desde setembro de 2025, especializado em ataques à cadeia de suprimentos de software. O grupo é notório por comprometer infraestruturas de desenvolvimento, incluindo pipelines de CI/CD, registros de pacotes (como npm e PyPI) e ferramentas de segurança, visando a exfiltração em larga escala de credenciais e a monetização através de parcerias com grupos de ransomware.
Contexto histórico e desenvolvimento
O grupo surgiu em meados de 2025, focando inicialmente na exploração de vulnerabilidades em ecossistemas de código aberto. Diferente de grupos de espionagem tradicionais, o TeamPCP opera com uma mentalidade voltada ao lucro e à operacionalização em massa. Eles ganharam destaque ao comprometer ferramentas amplamente utilizadas, como o scanner Trivy, transformando infraestruturas de segurança em vetores de ataque.
O grupo utiliza técnicas avançadas de automação, sendo capaz de publicar centenas de pacotes maliciosos em poucas horas. Em 2026, o grupo expandiu suas operações para incluir a monetização direta de credenciais roubadas, estabelecendo parcerias com operações de Ransomware-as-a-Service (RaaS), como o grupo Vect, além de desenvolver seu próprio projeto de ransomware, o CipherForce. O TeamPCP mantém uma presença pública ativa em plataformas como o Telegram, onde busca atrair afiliados para suas campanhas.
Linha do tempo
- Setembro de 2025: Início das atividades documentadas do TeamPCP.
- Início de 2026: Aumento significativo na escala de ataques, com foco em pacotes de IA/ML e infraestrutura de nuvem.
- Março de 2026: Formalização da parceria com o grupo de ransomware Vect e anúncio do projeto CipherForce.
- Abril de 2026: Identificação de ferramentas de autorreplicação, como o PCPJack, operando em ambientes anteriormente comprometidos pelo TeamPCP.
Principais atores
- TeamPCP: O grupo central, operando sob diversos pseudônimos (ex.: PCPcat, ShellForce, CipherForce).
- Vect Ransomware Group: Parceiro de RaaS que utiliza credenciais roubadas pelo TeamPCP para ataques de extorsão.
- Comunidade de Segurança: Pesquisadores e organizações (como SANS e Cloud Security Alliance) que monitoram e documentam as táticas do grupo.
Termos importantes
- Ataque à Cadeia de Suprimentos: Técnica onde o atacante compromete um componente de software confiável para atingir todos os usuários a jusante.
- CI/CD (Integração Contínua/Entrega Contínua): Alvo primário do grupo para injetar código malicioso em fluxos de trabalho de desenvolvimento.
- ICP Canister: Tecnologia utilizada pelo grupo como "dead-drop" para servidores de comando e controle (C2), dificultando a remoção por autoridades.
- CipherForce: Projeto proprietário de ransomware do TeamPCP.
- PCPJack: Framework de autorreplicação identificado em ambientes comprometidos, associado ao ecossistema do grupo.
