Novo Ataque Cibernético 'CanisterWorm' Destrói Dados no Irã com Foco em Serviços na Nuvem

Grupo TeamPCP lança ataque destrutivo contra sistemas no Irã

Um grupo criminoso financeiramente motivado, conhecido como TeamPCP, está explorando a guerra no Irã com um novo worm destrutivo chamado CanisterWorm. A campanha, detectada no último fim de semana, se espalha por serviços na nuvem mal protegidos e apaga dados em sistemas infectados que utilizam o fuso horário do Irã ou têm o Farsi como idioma padrão.

Como o ataque funciona

Desde dezembro de 2025, o TeamPCP vem comprometendo ambientes corporativos na nuvem por meio de um worm auto-replicante que explora APIs expostas do Docker, clusters Kubernetes, servidores Redis e a vulnerabilidade React2Shell. O grupo, então, se move lateralmente pela rede das vítimas, roubando credenciais de autenticação e extorquindo empresas via Telegram.

Segundo a empresa de segurança Flare, o TeamPCP não depende de exploits inovadores ou malware original, mas sim de automação em larga escala e integração de técnicas conhecidas. A estratégia prioriza infraestruturas na nuvem, com 97% dos servidores comprometidos rodando em Azure (61%) e AWS (36%).

"A força do TeamPCP não vem de exploits inéditos ou malware original, mas da automação em escala e integração de técnicas já conhecidas. O grupo industrializa vulnerabilidades existentes, más configurações e ferramentas recicladas em uma plataforma de exploração nativa para a nuvem, transformando infraestruturas expostas em um ecossistema criminoso auto-replicante."

Ataque à cadeia de suprimentos do Trivy

Em 19 de março, o TeamPCP realizou um ataque à cadeia de suprimentos contra o scanner de vulnerabilidades Trivy, da Aqua Security. Os criminosos injetaram malware roubador de credenciais em versões oficiais publicadas no GitHub Actions. Embora a Aqua Security tenha removido os arquivos maliciosos, a empresa Wiz alertou que versões prejudiciais foram publicadas, capazes de roubar chaves SSH, credenciais de nuvem, tokens do Kubernetes e carteiras de criptomoedas.

CanisterWorm: o novo payload destrutivo

No último fim de semana, a mesma infraestrutura técnica usada no ataque ao Trivy foi empregada para lançar um novo payload malicioso: o CanisterWorm. Segundo o pesquisador de segurança Charlie Eriksen, da Aikido, o worm verifica se o sistema infectado está no Irã ou tem o Farsi como idioma padrão. Se detectar um cluster Kubernetes, o malware destrói dados em todos os nós. Caso contrário, apaga apenas a máquina local.

"Se o componente destrutivo detectar que a vítima está no Irã e tiver acesso a um cluster Kubernetes, ele destruirá dados em todos os nós. Se não, apenas apagará a máquina local."

Infraestrutura baseada em blockchain

A Aikido nomeou a infraestrutura do TeamPCP de "CanisterWorm" porque o grupo orquestra suas campanhas usando canisters do Internet Computer Protocol (ICP) — contratos inteligentes baseados em blockchain que combinam código e dados. Esses canisters podem servir conteúdo web diretamente aos visitantes e sua arquitetura distribuída os torna resistentes a tentativas de derrubada. Eles permanecem acessíveis enquanto os operadores continuarem pagando taxas em criptomoedas para mantê-los online.

Os responsáveis pelo TeamPCP teriam se vangloriado em um grupo no Telegram, alegando ter usado o worm para roubar grandes volumes de dados sensíveis de empresas importantes, incluindo uma empresa de energia iraniana.

Recomendações de segurança

• Configure corretamente APIs expostas, clusters Kubernetes e servidores Redis para evitar acessos não autorizados.
• Monitore atividades suspeitas em sua infraestrutura na nuvem, especialmente em serviços como Azure e AWS.
• Atualize regularmente seus sistemas e ferramentas de segurança para corrigir vulnerabilidades conhecidas.
• Restrinja permissões e implemente autenticação multifator (MFA) para reduzir riscos de movimentação lateral.
• Analise cadeias de suprimentos de softwares e ferramentas usadas em sua empresa para detectar possíveis comprometimentos.