Zum Inhalt springen

TeamPCP startet Wiper-Angriff auf Iran-Systeme über CanisterWorm

Auf den Punkt: TeamPCP nutzt seine etablierte Infrastruktur für einen geografisch gezielten Wiper-Angriff, bei dem CanisterWorm Daten auf Systemen mit Iran-Konfiguration löscht.

Die Cybercrime-Gruppe TeamPCP setzt erstmals gezielte Lösch-Malware gegen Systeme mit iranischer Zeitzone oder Farsi-Einstellung ein. Die Angreifer propagieren CanisterWorm über ungesicherte Cloud-Services und haben zuvor die Trivy-Vulnerability-Scanner von Aqua Security kompromittiert.

Was ist passiert: TeamPCP, eine relativ neue Cybercrime-Gruppe mit Profitabsichten, hat Wiper-Angriffe gegen iranische Systeme gestartet. Die Anschläge begannen am Wochenende und setzen einen selbstausbreitenden Wurm namens CanisterWorm ein, der sich über schlecht gesicherte Cloud-Services verbreitet. Das Malware-Snippet zielt spezifisch auf Systeme ab, deren Zeitzone auf Iran eingestellt ist oder die Farsi als Standardsprache verwenden, und löscht dann Daten.

Infrastruktur und bisherige Anschläge: TeamPCP operiert seit Dezember 2023 und hat sich auf Cloud-native Angriffe spezialisiert. Die Gruppe nutzt automatisierte Exploits gegen exponierte Docker-APIs, Kubernetes-Cluster, Redis-Server und die React2Shell-Sicherheitslücke. Laut Sicherheitsfirma Flare (Januar-Analyse) konzentriert sich TeamPCP auf die Kompromittierung von Control Planes statt auf Endpunkte: 61 Prozent der befallenen Server liefen auf Azure, 36 Prozent auf AWS. Am 19. März führte TeamPCP eine Supply-Chain-Attacke auf Aqua Securitys Trivy-Scanner durch und implantierte Credential-Stealer in die offiziellen GitHub-Actions-Releases. Dabei erbeuteten die Angreifer SSH-Schlüssel, Cloud-Credentials, Kubernetes-Tokens und Kryptowallet-Daten.

Relevanz für Praktiker: Unternehmen mit Systemen im Iran und Cloud-Infrastrukturen sollten sofort überprüfen, ob exponierte Docker-APIs, Kubernetes-Cluster oder Redis-Server in ihren Umgebungen existieren. TeamPCP demonstriert, dass etablierte Exploit-Infrastruktur flexibel zweckentfremdet wird – die Trivy-Malware wurde über dasselbe technische Fundament zur geografisch spezifischen Wiper-Kampagne umgebaut. Die Automatisierung und Skalierbarkeit der Gruppe zeigt, dass Sicherheit durch einfache Patch-Cycles nicht ausreicht; Exposure-Management und Netzwerk-Segmentierung sind kritisch.


Quelle: ainews-dev.lumi-systems.io · Erschienen 17. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.

Share on: