Una campagna di cyberspionaggio su larga scala, caratterizzata da un elevato livello di automazione, sta colpendo in modo sistematico l’infrastruttura cloud che supporta numerose applicazioni web moderne. In meno di 48 ore, decine di migliaia di server sono stati compromessi attraverso lo sfruttamento mirato di vulnerabilità note in framework ampiamente utilizzati.

A documentare l’operazione è un rapporto pubblicato dal Beelzebub Research Team, che ha identificato la campagna con il nome di PCPcat. L’attività è emersa grazie all’osservazione di un honeypot Docker e ha mostrato fin da subito una rapidità di esecuzione fuori dal comune.

Gli attaccanti hanno sfruttato le vulnerabilità CVE-2025-29927 e CVE-2025-66478 presenti in Next.js e React, riuscendo a compromettere 59.128 server in meno di due giorni.

Il gruppo responsabile, riconoscibile dalla firma “PCP” inserita nei file malevoli, non si limita alla semplice alterazione dei siti web. L’obiettivo principale appare essere la raccolta sistematica di informazioni sensibili. Il malware è progettato per individuare credenziali cloud, chiavi SSH e file di configurazione contenenti variabili d’ambiente, in particolare i file .env, elementi che consentono ulteriori movimenti laterali all’interno delle reti compromesse.

Secondo i ricercatori, l’operazione presenta tratti tipici di attività di intelligence su vasta scala, con un’esfiltrazione di dati che avviene con modalità industriali. La catena di attacco si basa su tecniche avanzate che includono la manipolazione di payload JSON, consentendo agli aggressori di ottenere l’esecuzione di codice remoto sui sistemi vulnerabili.

Una volta ottenuto l’accesso, il malware stabilisce una persistenza installando una backdoor che utilizza GOST, un proxy SOCKS5, e FRP (Fast Reverse Proxy). In questo modo, i server compromessi vengono integrati in una botnet e trasformati in nodi controllabili da remoto.

Ciò che ha colpito maggiormente gli analisti è l’efficacia dell’operazione. A differenza di molte campagne automatizzate basate su tentativi casuali, PCPcat mostra un’elevata precisione. L’analisi diretta del server C2 ha permesso di confermare un tasso di successo dello sfruttamento pari al 64,6%, un valore anomalo che suggerisce l’uso di una lista di obiettivi selezionati oppure una diffusione molto ampia delle vulnerabilità non ancora corrette.

Durante l’indagine è emersa anche una grave debolezza nell’infrastruttura degli attaccanti. Il server C2, localizzato a Singapore, risultava completamente privo di meccanismi di autenticazione. Questa mancanza ha consentito ai ricercatori di accedere liberamente agli endpoint dell’API e di ricostruire l’estensione reale della campagna.

Dai dati raccolti è emerso che la modalità denominata “random_ips” stava scandagliando oltre 91.000 potenziali bersagli, senza apparenti criteri di selezione. Il ritmo dell’operazione è particolarmente sostenuto: circa 32 lotti di obiettivi vengono processati ogni giorno, con un incremento costante del numero di sistemi compromessi.

Se mantenuta a questa velocità, la campagna potrebbe arrivare a colpire oltre 1,2 milioni di server nell’arco di un mese, con conseguenze potenzialmente gravi per la sicurezza delle infrastrutture cloud esposte su Internet.

Alla luce di questi elementi, le organizzazioni che utilizzano applicazioni Next.js o React accessibili pubblicamente sono invitate ad applicare con urgenza le patch di sicurezza disponibili, a bloccare l’indirizzo IP del server C2 identificato (67.217.57[.]240) e a procedere alla rotazione di tutte le credenziali che potrebbero essere state esposte attraverso i file di ambiente.

L'articolo Cloud sotto tiro: la campagna PCPcat compromette 59.128 server in 48 ore proviene da Red Hot Cyber.