Grupa za krađu podataka i iznudu, motivisana finansijskim interesima, nedavno je pokrenula novu kampanju koja se fokusira na Iran. Ova pretnja, poznata kao CanisterWorm, koristi slabo zaštićene cloud usluge za širenje i brisanje podataka na zaraženim sistemima koji koriste iransku vremensku zonu ili imaju farsi kao podrazumevani jezik.
Prema izveštajima stručnjaka, napad se dogodio tokom vikenda i potiče od nove cyber kriminalne grupe nazvane TeamPCP. Grupa je od decembra 2025. godine počela da kompromituje korporativne cloud okruženja koristeći samoproširujući crv usmeren na izložene Docker API-je, Kubernetes klastere i Redis servere. Nakon ulaska u mreže žrtava, TeamPCP je kradomice preuzimala autentifikacione podatke i vršila iznude preko Telegram-a.
U izveštaju o grupi TeamPCP, bezbednosna firma Flare je napomenula da ova grupa koristi automatizaciju i integraciju poznatih napadačkih tehnika, umesto inovativnih eksploatacija. Njihova snaga leži u velikoj automatizaciji i iskorišćavanju ranjivosti u cloud infrastrukturi, gde su Azure i AWS odgovorni za većinu kompromitovanih servera.
Tokom napada 19. marta, TeamPCP je izvela napad na sistem za skeniranje ranjivosti Trivy iz Aqua Security, ubacujući malver za krađu podataka u zvanične verzije dostupne na GitHub-u. Ova aktivnost je omogućila napadačima da ukradu SSH ključeve, cloud akreditive i druge osetljive informacije od korisnika.
U okviru nedavnog napada, CanisterWorm se aktivira ako se detektuje da korisnik dolazi iz Irana, čime se brišu podaci sa svakog čvora u Kubernetes klasteru ili samo sa lokalnog računara. Ova infrastruktura se naziva CanisterWorm jer koristi Internet Computer Protocol (ICP) za orkestraciju svojih kampanja, omogućavajući im distribuciju sadržaja i otpor prema napadima na infrastrukturu.
Prema rečima stručnjaka, ovo nije prvi put da TeamPCP pokazuje svoje sposobnosti, a njihov cilj može biti i sticanje pažnje kroz ovakve napade. Tokom vikenda, primetili su se napadi koji su ukazivali na to da napadači koriste svoje prethodno dobijene akreditivske podatke kako bi nastavili sa zlonamernim aktivnostima.
U svetlu ovih događaja, stručnjaci za bezbednost upozoravaju da napadi na lanca snabdevanja postaju sve učestaliji i efikasniji, što postavlja izazove za bezbednosne timove širom sveta, uključujući i Srbiju.
