Skadlig mask riktad mot Iran sprids via molntjänster
En ny cyberkriminell grupp vid namn TeamPCP har inlett en aggressiv attackkampanj riktad mot system i Iran. Gruppen använder en skadlig mask, kallad CanisterWorm, som sprider sig via osäkra molntjänster och raderar data på infekterade system som använder Irans tidszon eller har Farsi som standardspråk.
Angreppen började förra helgen
Enligt säkerhetsexperter inleddes attackerna under förra helgen. TeamPCP har tidigare varit aktiv sedan december 2025, då gruppen började kompromettera företags molnmiljöer genom att utnyttja exponerade Docker API:er, Kubernetes-kluster, Redis-servrar och sårbarheten React2Shell. Gruppen har sedan försökt sprida sig vidare inom nätverken genom att stjäla autentiseringsuppgifter och utpressa offer via Telegram.
Målet: Stora molninfrastrukturer
Enligt säkerhetsföretaget Flare, som publicerade en profil över TeamPCP i januari, fokuserar gruppen främst på molninfrastruktur snarare än enskilda användarenheter. Gruppen utnyttjar exponerade kontrollplaner istället för att attackera slutpunkter. Azure stod för 61% av de komprometterade servrarna, medan AWS stod för 36%, vilket tillsammans utgör 97% av de drabbade systemen.
Assaf Morag från Flare förklarar att TeamPCP:s styrka inte ligger i nya sårbarheter eller originell skadlig kod, utan i deras förmåga att automatisera och integrera välkända attacktekniker i stor skala. Gruppen industrialiserar befintliga sårbarheter, felkonfigurationer och återanvända verktyg till en molnbaserad exploateringsplattform som omvandlar exponerad infrastruktur till ett självpropagerande kriminellt ekosystem.
Supply chain-attack mot säkerhetsskannern Trivy
Den 19 mars genomförde TeamPCP en supply chain-attack mot säkerhetsskannern Trivy från Aqua Security. Gruppen injicerade skadlig kod för stöld av inloggningsuppgifter i officiella utgåvor på GitHub Actions. Aqua Security har sedan dess tagit bort de skadliga filerna, men säkerhetsföretaget Wiz uppmärksammar att angriparna lyckades publicera skadliga versioner som stulit SSH-nycklar, molnlegitimationer, Kubernetes-token och kryptovaluta-plånböcker från användare.
Ny skadlig payload raderar data i Iran
Under helgen användes samma tekniska infrastruktur som i Trivy-attacken för att distribuera en ny skadlig payload. Denna payload innehåller en wiper-attack som aktiveras om offrets tidszon och språk motsvarar Iran, enligt Charlie Eriksen, säkerhetsforskare på Aikido.
I ett blogginlägg publicerat på söndagen förklarar Eriksen att om wiper-komponenten upptäcker att offret befinner sig i Iran och har tillgång till ett Kubernetes-kluster, kommer den att radera data på samtliga noder i klustret. Om inte kommer den endast att radera den lokala maskinen.
CanisterWorm: Blockkedjebaserad attackplattform
Aikido benämner TeamPCP:s infrastruktur som CanisterWorm eftersom gruppen använder sig av Internet Computer Protocol (ICP) canisters – en typ av blockkedjebaserade "smarta kontrakt" som kombinerar kod och data. Dessa canisters kan distribuera webbinnehåll direkt till besökare och deras distribuerade arkitektur gör dem motståndskraftiga mot nedtagningar. Canisters förblir tillgängliga så länge operatörerna fortsätter att betala avgifter i kryptovaluta för att hålla dem aktiva.
Eriksen uppger att TeamPCP:s medlemmar skryter om sina framgångar i en Telegram-grupp och påstår sig ha använt masken för att stjäla stora mängder känslig data från stora företag, inklusive ett företag inom energisektorn.
Experter varnar för ökad hotbild
Säkerhetsexperter varnar för att CanisterWorm och TeamPCP:s metoder utgör ett allvarligt hot mot molnbaserade system, särskilt i regioner med politisk spänning. Gruppen har visat sig kapabel att snabbt anpassa sina attacker och utnyttja både kända och nya sårbarheter för att maximera sin påverkan.
Så skyddar du dig mot liknande attacker
- Uppdatera och patcha alla system och mjukvaror regelbundet för att minimera sårbarheter.
- Begränsa exponerade API:er och tjänster genom att använda brandväggar och nätverkssegmentering.
- Övervaka molnmiljöer kontinuerligt för att upptäcka och reagera på misstänkta aktiviteter.
- Använd multi-faktorautentisering (MFA) för att skydda inloggningsuppgifter och förhindra lateral rörelse inom nätverket.
- Utbilda personal i säkerhetsmedvetenhet för att minska risken för social manipulation och phishing-attacker.
Relaterade artiklar
Techledare samlas i hemlig konferens om Irans framtid
A who’s who of the Iranian diaspora will meet at Uber HQ on Saturday to discuss tech and the future of Iran, according to an email about the event vie...
Ny allvarlig Cisco-sårbarhet utnyttjas aktivt av hotgrupp
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
AI:s genombrott förändrar krigföring – Pentagon varnar för revolution
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
AI:s framfart gör identitetssäkerhet avgörande för statliga nätverk
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn utsatt för cyberattack – fabriker i Nordamerika drabbade
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI-app samlar in 150 000 bilder av bajs – nu säljs databasen vidare
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI:s genombrott: Nya modeller klarar komplexa cyberattacker på rekordtid
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
Representanthuset granskar AI-modellen Mythos och dess cyberrisker i hemliga möten
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...