Auf den Punkt: PCPJack betreibt eine automatisierte Infrastruktur, um gehackte Cloud-Server als SMTP-Proxies zu missbrauchen und damit Spam oder Phishing-E-Mails verschleiert zu versenden.
Der Angreifer PCPJack hat 230 virtuelle Server bei AWS, Google Cloud und Azure kompromittiert und zu einem verdeckten SMTP-Relay-Netzwerk umfunktioniert. Das Sicherheitsunternehmen Hunt.io entdeckte die Operation durch offene Verzeichnisse auf dem Kommando- und Kontrollserver des Angreifers.
Hunt.io dokumentierte eine groß angelegte Kompromittierung von Cloud-Infrastrukturen durch PCPJack. Der Angreifer hat insgesamt 230 Instanzen bei Amazon Web Services, Google Cloud und Microsoft Azure übernommen. Ziel ist der Aufbau eines Netzwerks zur E-Mail-Weiterleitung via SMTP. Die Sicherheitsforscher entdeckten die Operation durch zwei ungeschützte Verzeichnisse auf dem Kontrollserver mit der IP-Adresse 213.136.80.73. Diese enthielten Quellcodes, ausführbare Binärdateien, Bereitstellungsprotokolle, Internet-Scanner, Exploit-Werkzeuge und eine zweckentfremdete Konfiguration von Sliver, einem legitimen Penetration-Testing-Framework.
PCPJack wurde erstmals im April 2026 von SentinelOne identifiziert, damals durch ein Framework zum Diebstahl von Cloud-Zugangsdaten aufgefallen. Hunt.io beobachtete, dass die gekaperten Server in den USA, Europa und Asien stillschweigend in SMTP-Proxies verwandelt wurden. Jedes infizierte System wird als versteckte Datei im Pfad /var/tmp/.xs mit einer Chisel-Tunnel-Binärdatei ausgestattet. Diese wird für Linux-Architekturen wie AMD64, ARM64 und x86 bereitgestellt. Die Zuweisung der SOCKS5-Proxy-Ports erfolgt deterministisch im Bereich 10.000–14.999 basierend auf einem MD5-Hash der Sliver-Identifikationsnummer, womit eine zentrale Port-Verwaltung entfällt.
Für die Validierung der Infrastruktur lädt ein Python-Skript namens chisel_verifier.py kontinuierlich alle 60 Sekunden die aktiven Tunnelports über das System-Befehlstool ss. Jeder neue Port wird auf SMTP-Fähigkeit zum Google Mail-Server (Port 587) getestet. Systeme, die diesen Test nicht bestehen, werden aus dem Pool entfernt. Hunt.io merkt dazu an: „Hosts, die keine E-Mails weiterleiten können, haben für diese Pipeline keinen Wert.“ In älteren Versionen des Deployment-Skripts war diese Überprüfung noch aktiv; in neueren wurde sie entfernt. Verifizierte Proxies werden mit Standortdaten angereichert, die durch Abfragen an api.ipify.org und ip-api.com gewonnen werden (IP-Adresse, Herkunftsland, autonome Systemnummer).
Die bereinigten Proxy-Listen werden alle fünf Minuten über das verschlüsselte Secure Copy Protocol auf einen separaten Folgeserver mit der IP-Adresse 38.242.204.245 übertragen. Dies deutet auf eine Arbeitsteilung zwischen Infrastruktur-Setup und Nutzung hin, wobei die Proxies nachgelagerten Diensten zur Verfügung stehen. Für CISOs stellt dies ein erhebliches Risiko dar: Gehackte Cloud-Konten werden nicht nur als Speicher oder Rechenleistung missbraucht, sondern können unbemerkt zu globalen SMTP-Relays umfunktioniert werden, die schwer zu erkennen sind, weil die Betreiber keinen direkten Zugriff auf die Mail-Inhalte haben.
Quelle: www.it-daily.net · Erschienen 12. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.