Ny cybertrussel: Dataorm angriper iransk infrastruktur via skyløsninger

En ny cyberkriminell gruppe har lansert et sofistikert angrep som kombinerer dataangrep og utpressing, samtidig som de forsøker å knytte seg til konflikten i Iran. Gruppen, kjent som TeamPCP, har utviklet en skadelig orm kalt CanisterWorm, som sprer seg via dårlig sikrede skyløsninger og sletter data på infiserte systemer som bruker iransk tidssone eller har farsi som standardspråk.

Angrepet retter seg mot iransk infrastruktur

Ifølge eksperter ble orm-angrepet iverksatt i helgen og er rettet mot systemer med tilknytning til Iran. TeamPCP har tidligere vært aktiv siden desember 2025, da de begynte å kompromittere bedrifters skymiljøer ved å utnytte sårbarheter i eksponerte Docker APIer, Kubernetes-klynger, Redis-servere og React2Shell-sårbarheten.

Gruppen har siden forsøkt å bevege seg horisontalt gjennom offerenes nettverk, stjele autentiseringsinformasjon og utpresse ofre via Telegram. En representant fra sikkerhetsfirmaet Aikido.dev forklarer at CanisterWorm er designet for å identifisere og ødelegge data på systemer som matcher iransk tidssone eller har farsi som standardspråk.

Automatisert utnyttelse av kjente sårbarheter

I en analyse av TeamPCP publisert i januar, påpeker sikkerhetsfirmaet Flare at gruppen spesialiserer seg på å utnytte eksponerte kontrollplaner fremfor sluttbrukerenheter. Gruppen retter seg hovedsakelig mot skyløsninger, der Azure (61%) og AWS (36%) står for 97% av de kompromitterte serverne.

«TeamPCPs styrke ligger ikke i nye exploits eller original malware, men i storstilt automatisering og integrering av velkjente angrepsteknikker. Gruppen industrialiserer eksisterende sårbarheter, feilkonfigurasjoner og gjenbrukt verktøy til en skybasert utnyttelsesplattform som omdanner eksponert infrastruktur til et selvforplantende kriminelt økosystem.»

Supply chain-angrep mot sårbarhetsskanner

19. mars utførte TeamPCP et supply chain-angrep mot sårbarhetsskanneren Trivy fra Aqua Security. Gruppen injiserte skadelig kode i offisielle GitHub-utgivelser, noe som førte til at skadelige versjoner ble publisert. Disse versjonene stjal SSH-nøkler, skykredensialer, Kubernetes-tokens og kryptovaluta-lommebøker fra brukere.

Aqua Security fjernet de skadelige filene umiddelbart, men sikkerhetsfirmaet Wiz påpeker at angriperne allerede hadde klart å distribuere skadelig programvare til ofre. Den samme tekniske infrastrukturen ble senere brukt til å distribuere CanisterWorm, som utfører en wiper-angrep dersom offerets tidssone og språkinnstillinger samsvarer med Iran.

Wiper-angrepet ødelegger data på infiserte systemer

Ifølge sikkerhetsforskeren Charlie Eriksen fra Aikido, vil wiper-komponenten i CanisterWorm ødelegge data på alle noder i en Kubernetes-klynge dersom offeret befinner seg i Iran og har tilgang til en slik klynge. Dersom dette ikke er tilfellet, vil ormen kun slette data på den lokale maskinen.

Eriksen forklarer videre at TeamPCP bruker Internet Computer Protocol (ICP) canisters for å koordinere angrepene. Disse canisters er blockchain-baserte «smart kontrakter» som kombinerer kode og data, og de er motstandsdyktige mot nedleggelsesforsøk. Så lenge operatørene fortsetter å betale virtuelle avgifter, vil canisters forbli tilgjengelige.

Gruppen skryter av sine angrep på Telegram

TeamPCP har opprettet en gruppe på Telegram der de skryter av sine angrep og hevder å ha stjålet store mengder sensitiv data fra store selskaper, inkludert et ukjent antall ofre i Iran. Gruppen hevder også å ha brukt ormen til å infiltrere betydelige deler av iransk infrastruktur.