Hackers expulsan a TeamPCP de sistemas comprometidos en nueva campaña PCPJack

Una nueva campaña de ciberataques detectada por SentinelOne muestra un patrón inusual: hackers que irrumpen en sistemas ya comprometidos por TeamPCP, expulsan al grupo rival y reutilizan ese acceso para robar credenciales, propagar malware en la nube y monetizar los datos sustraídos.
***

• SentinelOne identificó una campaña llamada PCPJack que apunta a sistemas ya vulnerados por TeamPCP.
• Los atacantes eliminan herramientas del grupo previo, despliegan código autorreplicante y roban credenciales.
• La operación parece tener fines financieros, mediante reventa de accesos, extorsión y phishing.

---

Una nueva campaña de ciberataques ha puesto el foco sobre una dinámica poco habitual en el ecosistema criminal digital: hackers que atacan sistemas ya comprometidos por otros hackers. La firma de ciberseguridad SentinelOne identificó esta operación y la bautizó como PCPJack, en referencia a su aparente énfasis en objetivos que antes habían sido vulnerados por TeamPCP, un grupo cibercriminal que ha figurado en incidentes recientes de alto perfil.

Lejos de actuar como una suerte de fuerza de limpieza, los operadores de PCPJack buscan aprovechar una intrusión ya abierta para quedarse con el control del sistema. Según la investigación, cuando logran entrar en esas máquinas, expulsan de inmediato a los actores de TeamPCP y eliminan sus herramientas. Después, usan el acceso para desplegar código malicioso, moverse por infraestructura en la nube y extraer credenciales con fines de lucro.

El caso refleja una tendencia importante para empresas y equipos de seguridad: una brecha activa no siempre termina con el primer intruso. En entornos con mala higiene de seguridad, accesos expuestos o credenciales filtradas, un mismo sistema puede convertirse en terreno de disputa entre varios grupos criminales. En la práctica, eso amplía el riesgo operativo y complica la respuesta a incidentes.

De acuerdo con TechCrunch, la investigadora sénior Alex Delamotte, de SentinelOne, encontró la campaña y señaló que todavía no está claro quién está detrás. Entre las hipótesis que maneja están exmiembros descontentos de TeamPCP, un grupo rival o un tercer actor que decidió modelar directamente sus herramientas de ataque sobre campañas anteriores de TeamPCP, muchas de las cuales se enfocaban en infraestructura en la nube.

Un patrón centrado en TeamPCP y en servicios expuestos

TeamPCP ha ganado visibilidad en semanas recientes por una serie de incidentes atribuidos al grupo. Entre ellos figuran una brecha en la infraestructura en la nube de la Comisión Europea y un ciberataque a gran escala contra la herramienta de escaneo de vulnerabilidades Trivvy. Ese último incidente afectó a cualquier empresa que dependiera del servicio, incluidas LiteLLM y la startup de reclutamiento de IA Mercor.

En ese contexto, PCPJack parece haber detectado una oportunidad concreta. SentinelOne observó que los servicios objetivo del nuevo grupo se asemejan mucho a los que TeamPCP venía atacando entre diciembre y enero, antes de un supuesto cambio en la membresía del grupo ocurrido entre febrero y marzo. Esa coincidencia alimenta la tesis de una conexión indirecta o, al menos, de una imitación deliberada de tácticas previas.

Delamotte explicó que los operadores de PCPJack no se limitan a buscar máquinas ya vulneradas por TeamPCP. También escanean internet en busca de servicios expuestos, como la plataforma de nube para máquinas virtuales Docker, bases de datos con MongoDB y otros recursos accesibles desde la red pública. Aun así, SentinelOne concluyó que el esfuerzo principal parece seguir orientado a desplazar a TeamPCP de los entornos que ya había comprometido.

Este detalle importa porque sugiere una lógica operativa distinta a la de campañas oportunistas comunes. En lugar de priorizar cualquier objetivo disponible, PCPJack parece asignar valor estratégico a ecosistemas ya penetrados. Eso reduce parte del trabajo inicial de intrusión y permite concentrarse en la fase de monetización, una etapa donde los atacantes suelen obtener el mayor retorno.

Cómo opera PCPJack tras entrar en los sistemas

Una vez dentro, la campaña ejecuta una secuencia relativamente clara. Primero desinstala o elimina herramientas vinculadas a TeamPCP. Luego despliega código diseñado para replicarse a través de distintas infraestructuras en la nube, con un comportamiento tipo gusano. Más tarde roba varios tipos de credenciales y envía los datos sustraídos a su propia infraestructura de control.

SentinelOne también detectó que las herramientas del grupo incluyen un conteo interno del número de objetivos comprometidos en los que lograron expulsar con éxito a TeamPCP. Esa información es devuelta a la infraestructura de los atacantes. El detalle sugiere que los operadores miden de forma activa la eficacia de su campaña y siguen de cerca el resultado de cada toma de control.

El uso de código autorreplicante en servicios de nube añade una capa de complejidad relevante. En estos entornos, el movimiento lateral puede ser rápido si existen claves expuestas, configuraciones débiles o permisos excesivos entre contenedores, instancias y bases de datos. Para los defensores, esto significa que contener una intrusión ya no pasa solo por cerrar un punto de acceso, sino por revisar relaciones de confianza entre múltiples servicios.

Para lectores vinculados al sector cripto, el caso es especialmente relevante. Exchanges, custodios, proveedores de infraestructura Web3, startups de IA y proyectos DeFi operan con frecuencia sobre arquitecturas en la nube, automatización de despliegues y gestores de secretos. Un acceso mal protegido puede derivar no solo en filtración de datos empresariales, sino también en robo de claves operativas, paneles administrativos y credenciales de terceros.

El objetivo parece ser financiero, no la minería de criptomonedas

Según la investigación, los objetivos de PCPJack parecen ser puramente financieros. El grupo roba credenciales con la intención de monetizarlas. Entre las rutas posibles figuran la reventa directa, la venta de acceso a sistemas comprometidos como brokers de acceso inicial o la extorsión directa a las víctimas.

Los brokers de acceso inicial cumplen una función cada vez más importante dentro del crimen digital. En lugar de ejecutar por sí mismos todas las fases del ataque, estos actores venden o arriendan entradas ya abiertas a otros grupos que luego despliegan ransomware, exfiltran datos o realizan espionaje. Ese modelo ha vuelto más eficiente y especializado al mercado ilícito.

Un dato llamativo es que los atacantes no intentan instalar software para minar criptomonedas en los sistemas hackeados. Delamotte indicó que esto probablemente se deba a que esa estrategia tarda más en generar resultados. En comparación, robar credenciales y vender acceso puede ofrecer una monetización más rápida, con menor permanencia visible dentro del entorno comprometido.

Ese punto también encaja con la evolución del cibercrimen en los últimos años. Aunque la minería ilícita de cripto sigue presente en algunos casos, muchos grupos prefieren operaciones con retorno inmediato y menor consumo de recursos. El robo de credenciales, la extorsión y la comercialización de acceso suelen ser más rentables, sobre todo en sistemas corporativos o entornos cloud con alto valor operacional.

Phishing, sitios falsos y una amenaza más amplia

Como parte de algunos ataques, los operadores de PCPJack están utilizando dominios que sugieren campañas de phishing orientadas a obtener credenciales de gestores de contraseñas. También se detectó el uso de sitios web falsos de mesas de ayuda, una táctica diseñada para capturar información sensible bajo apariencia de soporte técnico legítimo.

Estas técnicas muestran que la campaña no depende exclusivamente de explotar fallas técnicas. También incorpora componentes de ingeniería social, lo que amplía la superficie de ataque. En la práctica, una organización puede reforzar sus servidores y seguir expuesta si sus empleados, contratistas o administradores entregan credenciales a portales fraudulentos.

Para los equipos de seguridad, el mensaje es doble. Primero, una intrusión previa no garantiza que el atacante original conserve el control exclusivo del sistema. Segundo, el robo de credenciales sigue siendo una de las rutas más efectivas para escalar privilegios y sostener operaciones maliciosas. Eso obliga a combinar monitoreo técnico con segmentación, rotación de accesos y autenticación robusta.

El informe sobre PCPJack retrata un escenario donde la competencia entre grupos criminales no reduce el daño para las víctimas. Al contrario, puede intensificarlo. Cuando varios atacantes disputan la misma infraestructura, aumentan la posibilidad de pérdida de datos, interrupciones operativas y extorsión. En un contexto de dependencia creciente de la nube, esa realidad eleva la urgencia de reforzar controles básicos antes de que una primera brecha abra la puerta a muchas más.