Nuovo attacco wiper 'CanisterWorm' colpisce l'Iran tramite servizi cloud vulnerabili

Un gruppo cybercriminale finanziariamente motivato sta cercando di inserirsi nel conflitto in Iran lanciando un attacco wiper che si diffonde attraverso servizi cloud mal protetti. Il malware, denominato CanisterWorm, cancella i dati sui sistemi infetti che utilizzano il fuso orario iraniano o hanno il Farsi come lingua predefinita.

Secondo gli esperti, la campagna contro l'Iran è emersa nel weekend e proviene da un gruppo relativamente nuovo noto come TeamPCP. Già a dicembre 2025, il gruppo aveva compromesso ambienti cloud aziendali sfruttando un worm auto-propagante che prendeva di mira API Docker esposte, cluster Kubernetes, server Redis e la vulnerabilità React2Shell. TeamPCP ha quindi cercato di muoversi lateralmente all'interno delle reti delle vittime, rubando credenziali di autenticazione ed estorcendo denaro tramite Telegram.

L'obiettivo: infrastrutture cloud vulnerabili

In un report pubblicato a gennaio, la società di sicurezza Flare ha descritto TeamPCP come un gruppo che sfrutta piani di controllo esposti piuttosto che colpire direttamente gli endpoint. La maggior parte degli attacchi è rivolta alle infrastrutture cloud, con Azure (61%) e AWS (36%) che rappresentano il 97% dei server compromessi.

Assaf Morag di Flare ha sottolineato: «La forza di TeamPCP non deriva da exploit innovativi o malware originali, ma dall'automazione su larga scala e dall'integrazione di tecniche di attacco già note. Il gruppo industrializza vulnerabilità esistenti, configurazioni errate e strumenti riciclati in una piattaforma di sfruttamento nativa per il cloud, trasformando infrastrutture esposte in un ecosistema criminale auto-propagante».

Attacco alla supply chain: il caso Trivy

Il 19 marzo, TeamPCP ha eseguito un attacco alla supply chain contro Trivy, lo scanner di vulnerabilità di Aqua Security, iniettando malware per rubare credenziali nelle versioni ufficiali pubblicate su GitHub Actions. Aqua Security ha rimosso i file dannosi, ma la società di sicurezza Wiz ha rilevato che gli attaccanti erano riusciti a pubblicare versioni malevole in grado di sottrarre chiavi SSH, credenziali cloud, token Kubernetes e portafogli di criptovalute dagli utenti.

Il nuovo payload wiper: distruzione mirata

Durante il weekend, la stessa infrastruttura tecnica utilizzata nell'attacco a Trivy è stata impiegata per distribuire un nuovo payload dannoso. Secondo Charlie Eriksen, ricercatore di sicurezza di Aikido, il componente wiper viene attivato se il fuso orario e la localizzazione della vittima corrispondono all'Iran. In un post pubblicato domenica, Eriksen ha spiegato che, se il malware rileva che la vittima si trova in Iran e ha accesso a un cluster Kubernetes, distruggerà i dati su ogni nodo di quel cluster. «Altrimenti, cancellerà solo la macchina locale», ha dichiarato Eriksen a KrebsOnSecurity.

CanisterWorm: l'infrastruttura blockchain-based

Aikido ha ribattezzato l'infrastruttura di TeamPCP come CanisterWorm perché il gruppo orchestra le proprie campagne utilizzando un Internet Computer Protocol (ICP) canister — un sistema di contratti intelligenti basati su blockchain, resistenti a manomissioni e in grado di servire contenuti web direttamente agli utenti. Grazie alla loro architettura distribuita, questi canister sono difficili da rimuovere fintanto che gli operatori continuano a pagare le commissioni in criptovalute per mantenerli online.

Eriksen ha rivelato che i membri di TeamPCP si vantano dei propri exploit in un gruppo Telegram, affermando di aver utilizzato il worm per rubare grandi quantità di dati sensibili da aziende di rilievo, inclusa una società energetica.