Det pågår ett digitalt inbördeskrig där hackergrupper nu attackerar varandra för att ta över kontrollen över infekterade system.
Tjuvskyttar i molnet tar över rivalernas servrar
Det är inte bara företag och privatpersoner som lever farligt på nätet. En ny rapport från säkerhetsbolaget SentinelOne avslöjar en ovanlig kampanj där en okänd grupp systematiskt attackerar system som redan har infekterats av den ökända gruppen TeamPCP.
När de nya hackarna väl tagit sig in kastar de omedelbart ut de tidigare förövarna, raderar deras verktyg och tar själva över kontrollen.
Denna metod, som SentinelOne har döpt till “PCPJack”, fungerar nästan som en digital gökunge. Genom att rikta in sig på redan komprometterade system sparar den nya gruppen tid och kan direkt gå vidare till att sprida sin egen skadliga kod, som fungerar likt en självförsökande mask i molninfrastrukturer.
Jakten på inloggningsuppgifter och snabba pengar
Syftet med PCPJack verkar vara helt och hållet ekonomiskt. Istället för att installera resurskrävande mjukvara för att utvinna kryptovalutor, fokuserar gruppen på att stjäla inloggningsuppgifter. Dessa säljs sedan vidare till andra kriminella eller används för utpressning mot de drabbade offren. Genom att fungera som så kallade “initial access brokers” säljer de helt enkelt nyckeln till dörren som de precis har stulit från en konkurrent.
TeamPCP, som blivit av med sina offer i den här vevan, har nyligen varit i rubrikerna för attacker mot bland annat EU-kommissionens molntjänster. Varför den nya gruppen valt att attackera just dem är oklart, men teorierna sträcker sig från interna splittringar och missnöjda ex-medlemmar till rena rivaliteter mellan olika kriminella nätverk.
Sårbarheter i molntjänster utnyttjas brett
Även om fokus ligger på att “stjäla” offer från TeamPCP, så scannar PCPJack-gruppen även nätet efter andra öppna dörrar. Tjänster som Docker och databaser som MongoDB är särskilt utsatta om de lämnas oskyddade.
Utöver de tekniska attackerna använder gruppen även falska supportwebbplatser och nätfiske för att komma över lösenord till lösenordshanterare, vilket visar på en bred och aggressiv taktik för att maximera vinsten på kortast möjliga tid.
Så fungerar PCPJack-attacken
-
Mål: System som redan infekterats av gruppen TeamPCP samt exponerade molntjänster som Docker och MongoDB.
-
Metod: Slänger ut befintliga hackare, raderar deras skadliga kod och installerar egen självförsökande mask.
-
Syfte: Stöld av inloggningsuppgifter och försäljning av systemåtkomst på svarta marknaden.
-
Sårbarheter: Utnyttjar främst felkonfigurerade molnmiljöer och nätfiske mot lösenordshanterare.
-
Upptäckt: Identifierades av SentinelOne i maj 2026 efter en våg av attacker mot molninfrastruktur.