Investigadores de Flare, una empresa de seguridad, observaron al recientemente identificado grupo, TeamPCP, a finales de diciembre mientras este se dirigía a plataformas en la nube no seguras con un primer virus. La campaña pretendía establecer una infraestructura distribuida para escanear y exfiltrar datos, desplegar ransomware y minar criptomonedas.
Recientemente, TeamPCP lanzó una campaña agresiva utilizando malware que puede autopropagarse sin interactuar con el usuario. Comprometieron el scanner de vulnerabilidades Trivy al acceder a la cuenta GitHub de Aqua Security. El virus luego se propagó a 28 paquetes en un minuto, demostrando sus capacidades de infección rápidas.
El malware, bautizado como CanisterWorm, utiliza una canister basada en el Protocolo de Computadora en Internet para control, lo que permite a los atacantes cambiar URLs en cualquier momento. Esta característica hizo difícil para las defensas deshabilitar o mitigar la amenaza. Sin embargo, los investigadores notaron que la canister fue retirada el domingo por la noche, tornando esta mecánica ineficaz.
Más preocupante es que CanisterWorm tiene un nuevo payload: un borrador de datos dirigido a sistemas iraníes específicos. El malware verifica si una máquina se encuentra en zonas horarias iraníes o está configurada para usarlas; al detectar eso, activa un mecanismo llamado Kamikaze, que podría causar daños significativos.