返回
快讯

PCPJack 劫持230台云服务器作SMTP中继

威胁行为者 PCPJack 劫持与 AWS、Google Cloud 和 Microsoft Azure 相关的云服务器,搭建隐蔽 SMTP email relay network。受影响主机分布于美、欧、亚,被转为 SMTP proxy 并每五分钟同步到下游服务器;建议检查异常代理、持久化与 C2 连接并清除相关组件。

被称为 PCPJack 的威胁行为者劫持了与 Amazon Web Services (AWS)、Google Cloud 和 Microsoft Azure 相关的云服务器,创建了一个隐蔽的 SMTP email relay network。

Hunt.io 在一份声明中表示:“美国、欧洲和亚洲的受感染业务服务器被悄悄转换为 SMTP proxy,经过验证具备邮件中继能力,并且每五分钟与下游消费者同步一次。我们发现时,这套基础设施仍在运行。”

这家 threat intelligence 公司表示,它在该行动背后的威胁行为者在一个 command-and-control (C2) server(“213.136.80[.]73”)上留下两个未设置任何身份验证的 open directories 后,发现了源代码、编译后的 binary、deployment state logs、internet scanners、exploitation tooling,以及一个正在运行的 Sliver configuration。

PCPJack 最早由 SentinelOne 于 2026 年 4 月发现,当时其识别出一个专门针对 cloud services 的 credential theft framework,同时采取措施终止并移除与 TeamPCP 相关的进程或痕迹。TeamPCP 是另一个臭名昭著的 hacking group,近几个月因其 software supply chain attacks 而受到关注。

其中一个 open directories 中存放着一个集成 Sliver 的 SMTP proxy deployment toolkit,以及 Chisel tunneling 和 proxy binaries,覆盖大多数 Linux CPU architectures,例如 AMD64、ARM64 和 x86。在受害主机上,该 binary 会以隐藏的、以点开头的文件形式落地,并持久化为“/var/tmp/.xs”。

这些目录中还发现了 deployer scripts,它们旨在加载 Sliver C2 client configuration,并筛选最近十分钟内已 check in 的 Linux beacons。Beacons 是 implants,会按固定间隔周期性地向 C2 server “回连”以 check in 并获取命令。

Hunt.io 告诉 The Hacker News:“这些 deployer scripts 是把受感染 Linux servers 转变为 SOCKS5 proxies 的自动化层。它们连接到本地 Sliver C2,拉取活跃的 Linux beacons 列表,向每个 beacon 推送一个 Chisel binary,并将其作为持久化 service 安装。”

Hunt.io 指出:“每个 beacon 都会收到一个 SOCKS5 proxy port,该端口由其 Sliver UUID 的 MD5 hash 确定性生成,并映射到 10000-14999 范围内。同一个 beacon 在不同运行中总是映射到同一个端口,从而无需共享端口 registry。”

该脚本还能够运行一个 SMTP quality gate,通过探测是否可访问 smtp.gmail[.]com:587 来检查外联能力。未通过此检查的主机会被跳过,且退出代码为 zero。

这家 cybersecurity 公司补充说:“这个 gate 定义了该行动的目的:不能中继邮件的主机对这条 pipeline 没有价值。Beacons 以 50 个为一批处理,在上传后等待 25 分钟,在执行命令后等待 15 分钟,以适应低频率的 beacon check-in。”

随后发现的 deployer scripts 版本已移除了 SMTP gate 和批处理逻辑。还存在一个 diagnostic script,它会选择五个活跃 beacon,并向它们下发 shell command,用于检查以下内容——

是否存在位于已知 drop paths 的 Chisel binaries

是否有 Chisel process 正在运行

磁盘空间

C2 上端口 9000 是否可达

是否存在持久化痕迹,例如 cron entry 或 systemd service

此外,C2 server 还会作为一个持久运行的后台 daemon 执行名为“chisel_verifier.py”的 Python 脚本。该脚本每 60 秒通过 ss -tlnp 枚举活跃的 Chisel tunnel ports,测试每个新端口是否具备 SMTP 能力,并从活跃池中移除失败或已掉线的 tunnel。

已验证的 proxy 会通过 api.ipify[.]org 和 api-ip[.]com 等服务补充出口 IP address、country 和 ASN。随后,这些 proxy list 每五分钟通过 Secure Copy Protocol (SCP) 同步到另一台下游服务器 38.242.204[.]245。该服务器目前无法访问。该行动的最终目标目前仍不清楚。

Hunt.io 表示:“230 个节点的结果是可观察到的结果。无法根据恢复的文件确定这一演进是单个操作者持续迭代,还是多个行为者共享同一基础设施。”该公司将其描述为一次 opportunistic campaign。

“已验证的 proxy list 正在每五分钟同步到那台服务器,并且有人在消费它。无论是用于 spam、phishing,还是其他用途,能够大规模投递的基础设施显然已经在运行。”