Auf den Punkt: PCPJack betreibt ein automatisiertes Netzwerk aus 230 gekaperten Cloud-Servern als SMTP-Proxies mit kontinuierlicher Validierung und geografischer Anreicherung.
Die Hackergruppe PCPJack hat 230 virtuelle Server bei Amazon Web Services, Google Cloud und Microsoft Azure kompromittiert, um ein Netzwerk zur SMTP-E-Mail-Weiterleitung aufzubauen. Hunt.io dokumentierte die Infrastruktur anhand offengelegter Verzeichnisse auf dem Command-and-Control-Server.
PCPJack hat systematisch Cloud-Instanzen in den USA, Europa und Asien in SMTP-Proxies umgewandelt. Hunt.io identifizierte die Infrastruktur, nachdem die Angreifer zwei ungeschützte Verzeichnisse auf ihrem C2-Server (IP 213.136.80.73) hinterlassen hatten. Diese enthielten Quellcode, ausführbare Binärdateien, Bereitstellungsprotokolle, Scanner-Tools, Exploit-Werkzeuge und eine zweckentfremdete Instanz des Sicherheitswerkzeugs Sliver.
Das Toolkit automatisiert die Bereitstellung von SMTP-Proxies vollständig. Chisel-Binärdateien für AMD64, ARM64 und x86 werden als versteckte Datei unter /var/tmp/.xs auf den Opfersystemen abgelegt und persistent verankert. Die Bereitstellungsskripte filtern Linux-Beacons heraus, die sich in den letzten zehn Minuten beim C2 angemeldet haben, und weisen jedem System deterministisch einen SOCKS5-Proxy-Port zwischen 10000 und 14999 zu – basierend auf einem MD5-Hash der eindeutigen Sliver-ID. Ein Python-Skript namens chisel_verifier.py läuft kontinuierlich im 60-Sekunden-Rhythmus und validiert die Tunnelports über das Systemkommando ss, prüft SMTP-Funktionalität und entfernt fehlerhafte Verbindungen aus dem aktiven Pool.
Die Angreifer testem die gekaperten Server auf ausgehende Verbindungen zu Google-Mail-Servern über Port 587 – Systeme ohne diese Fähigkeit wurden aus der Pipeline ausgesondert. Neuere Versionen entfernten diese Überprüfung. Verifizierte Proxies werden automatisch mit Standortdaten angereichert, die von externen IP-Lookup-APIs (ipify.org, ip-api.com) abgerufen werden und die ausgehende IP-Adresse, das Herkunftsland und die AS-Nummer erfassen. Diese Listen werden alle fünf Minuten verschlüsselt per Secure Copy Protocol auf einen Folgeserver (IP 38.242.204.245) übertragen.
PCPJack wurde im April 2026 erstmals von SentinelOne identifiziert, als die Gruppe ein Credential-Theft-Framework für Cloud-Dienste einsetzte und gezielt Prozesse der konkurrierenden Hackergruppe TeamPCP löschte. Hunt.io beobachtete die aktuelle SMTP-Proxy-Infrastruktur noch im Betrieb zum Zeitpunkt ihrer Entdeckung.
Quelle: www.it-daily.net · Erschienen 12. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.