一個名為TeamPCP（又稱PCPcat、ShellForce）的威脅組織，正以自動化蠕蟲式攻擊大規模入侵全球雲端基礎設施。資安公司Flare最新分析顯示，自2025年12月底起，該組織已至少劫持6萬台伺服器，將其轉化為加密貨幣挖礦機、代理節點、勒索軟體C2伺服器與資料外洩跳板。攻擊者並未使用全新漏洞或自製惡意程式，而是將已知弱點與常見誤設工業化，展現雲端原生網路犯罪的可怕效率。對台灣大量採用Azure與AWS的科技、金融與製造業而言，此波攻擊敲響嚴重警鐘。

 

Flare研究員Assaf Morag在部落格指出，TeamPCP的核心優勢在於「大規模自動化與整合既有攻擊技術」，而非創新。他們的攻擊劇本高度標準化：首先掃描廣泛IP範圍，鎖定暴露的Docker API、Kubernetes叢集、Redis伺服器、Ray儀表板，以及廣泛濫用的React Server Components漏洞（CVE-2025-29927，React2Shell）。一旦取得初始存取權，攻擊者即部署Python與Shell腳本，下載後續酬載，安裝代理、隧道軟體與持久化機制。即使伺服器重開機，惡意程式仍能維持存活。

 

在Kubernetes環境中，TeamPCP使用專屬腳本「kube.py」，透過管理級API收割憑證，並將惡意容器推播至所有可存取的Pod，將單一入侵點擴大為整個叢集控制。這讓受害叢集瞬間變成「自傳播掃描網路」。針對React2Shell漏洞，攻擊者可遠端執行命令，竊取環境變數、雲端憑證與敏感資料。Flare統計顯示，逾60%的攻擊目標位於Azure，37%在AWS，Google Cloud與Oracle Cloud亦受波及。

 

TeamPCP的獲利模式多管齊下，每台被劫持伺服器同時扮演多重角色：

 

Flare檢視的樣本顯示，遭竊資料包含全名、身分證號、住址、電話、就業紀錄與求職詳細資料。其中一宗顯著案例為越南求職平台JobsGO，超過200萬筆求職者個人與職業資料被外洩。Morag指出，這些資料雖不如信用卡或銀行登入在暗網價值高，但極適合用於釣魚、身分冒充與帳號接管攻擊。主要受害地區包括南韓、加拿大、美國、塞爾維亞與阿拉伯聯合大公國。

TeamPCP的Telegram頻道約有700名成員，自去年11月啟用，用於宣傳與分享攻擊成果。Morag認為，頻道宣稱的「品牌重塑」暗示該組織可能早已以其他別名運作。令人憂心的是，TeamPCP幾乎未開發新惡意程式或漏洞利用，而是大量複製、輕微修改或借助AI輔助既有工具，將已知弱點與雲端誤設（如公開API、.env檔案洩漏憑證）工業化執行，展現極高效率。

Morag警告：「只要組織繼續暴露編排API、在.env檔案洩漏祕密、未設強安全邊界的雲端服務，TeamPCP這類行動者就會持續將全球運算資源轉化為犯罪基礎設施。」

 

對台灣企業影響深遠。台灣科技業與金融機構高度依賴Azure、AWS與Kubernetes進行雲端原生開發與服務部署，許多企業的Docker API、Kubernetes控制平面與Redis實例仍暴露於公網。若未及時修補React2Shell等已知漏洞或強化雲端安全邊界，可能成為TeamPCP下一個目標，導致運算資源被盜用、資料外洩，甚至成為勒索軟體攻擊跳板。

 

Flare建議防護重點如下：

TeamPCP的崛起顯示，雲端犯罪已從單點入侵演進為「工業化平台」。Morag結語：「這不是技術創新，而是對既有弱點的系統性剝削。」台灣企業若繼續忽視雲端基礎安全，恐付出高昂代價。

 

 

出處： 基於Dark Reading文章《TeamPCP Turns Cloud Infrastructure into Crime Bots》，作者Jai Vijayan，發布日期2026年2月10日；並參考Flare研究員Assaf Morag部落格分析、相關雲端攻擊情資與CVE-2025-29927（React2Shell）漏洞報告。