PCPJack : 230 serveurs cloud AWS et Azure piratés pour spam

PCPJack ou l'art de transformer des serveurs cloud légitimes en infrastructure de spam

Des chercheurs de Hunt.io ont publié le 5 juin 2026 une analyse détaillée d'une campagne inédite menée par un groupe baptisé PCPJack. Ce dernier a réussi à compromettre et détourner 230 serveurs professionnels répartis sur trois des principales plateformes cloud mondiales — Amazon Web Services, Google Cloud Platform et Microsoft Azure — pour les convertir en proxies SMTP clandestins. Ces serveurs, appartenant à des entreprises en Amérique du Nord, en Europe et en Asie, ont été transformés à leur insu en relais de messagerie capables d'expédier du spam et des emails de phishing à grande échelle.

La découverte est le fruit d'une erreur opérationnelle des attaquants eux-mêmes : deux répertoires sur leur serveur de commande et contrôle (C2) étaient accessibles sans mot de passe ni authentification. Les chercheurs de Hunt.io ont pu y accéder et analyser l'intégralité du toolkit déployé, révélant l'architecture complète de l'opération. Cette négligence, classique dans le milieu criminel où la sécurité opérationnelle (OPSEC) reste souvent défaillante, a permis une dissection technique complète rarement possible pour ce type de campagne.

Le toolkit déployé par PCPJack s'appuie sur le framework Sliver C2, un projet open source initialement développé pour les exercices de red team légitimes, largement adopté par les groupes criminels ces dernières années comme alternative à Cobalt Strike. Le mécanisme de déploiement est sophistiqué : des scripts automatisés chargent la configuration du client Sliver C2, filtrent les implants Linux ayant établi un contact au cours des dix dernières minutes, puis assignent à chacun un port proxy SMTP dédié. Seuls les serveurs actifs et récemment vus sont intégrés dans le pool, garantissant la disponibilité et la fraîcheur du réseau de relais.

Chaque serveur compromis est ensuite vérifié pour sa capacité à relayer des emails — les serveurs qui échouent au test sont retirés du pool — puis synchronisé avec un agrégateur aval toutes les cinq minutes. Ce mécanisme de synchronisation continue garantit au client final du réseau (probablement un opérateur de spam ou de phishing) un accès permanent à un pool de relais actualisé, minimisant l'impact des mises hors ligne par les équipes de sécurité ou les hébergeurs.

L'intérêt stratégique de l'opération est double. D'abord, les adresses IP des serveurs cloud AWS, GCP et Azure bénéficient d'une réputation de messagerie généralement bonne : elles ne figurent pas sur les listes noires anti-spam, et les emails en provenant passent plus facilement les filtres des messageries d'entreprise. Ensuite, ces serveurs appartenant à des organisations légitimes, toute plainte ou investigation initiale pointe vers des victimes innocentes plutôt que vers les vrais opérateurs du réseau.

PCPJack a été identifié pour la première fois par SentinelOne en avril 2026, lors d'une enquête sur un framework de vol de credentials ciblant spécifiquement les services cloud. Les chercheurs avaient alors noté que PCPJack cherchait activement à identifier et neutraliser les processus liés à TeamPCP, un autre groupe de menace connu pour ses attaques sur la supply chain logicielle. Cette rivalité entre groupes criminels opérant dans le même espace suggère une écologie criminelle dense où la compétition pour les ressources cloud est réelle.

L'analyse du toolkit révèle également un module de collecte de credentials cloud : avant de configurer un serveur compromis comme proxy SMTP, PCPJack extrait les clés AWS IAM, les tokens de service Azure et les credentials GCP présents sur la machine. Ce double usage — vol de credentials ET détournement du serveur comme relais — maximise la valeur extraite de chaque compromission. Les identifiants cloud volés sont probablement revendus séparément sur des marchés criminels spécialisés.

Les équipes de sécurité des trois hébergeurs ont été notifiées par Hunt.io dans le cadre d'un disclosure responsable. AWS, Azure et GCP disposent tous de mécanismes de détection d'activité suspecte — comme AWS GuardDuty ou Microsoft Defender for Cloud — mais la discrétion du toolkit rend la détection automatisée difficile sans règles spécifiques. Le trafic SMTP sortant vers des ports standards en volumes raisonnables ne déclenche pas d'alertes par défaut.

Pourquoi les infrastructures cloud sont devenues la cible privilégiée des spammeurs

L'opération PCPJack s'inscrit dans une tendance structurelle documentée depuis plusieurs années : le déplacement progressif des opérations de spam et de phishing depuis des datacenters douteux vers des infrastructures cloud grand public. La réputation IP des grands fournisseurs cloud, construite sur des années de gestion rigoureuse des abus, constitue un actif que les opérateurs de spam cherchent à exploiter. En 2026, alors que les filtres anti-spam intègrent de plus en plus les signaux de réputation des blocs IP et des ASN, opérer depuis AWS ou Azure confère un avantage significatif en termes de délivrabilité.

Les fournisseurs cloud font face à un défi structurel : leurs mécanismes de vérification à l'inscription sont suffisamment robustes pour écarter les inscriptions directement frauduleuses, mais les serveurs compromis dans les tenants légitimes constituent un angle mort. La détection de ces serveurs détournés nécessite une surveillance comportementale continue et des capacités de threat intelligence que beaucoup d'équipes de sécurité peinent à déployer sur l'ensemble de leur surface cloud.

Du point de vue de la sécurité des entreprises, cet incident illustre l'importance des contrôles de sortie (egress) dans les environnements cloud. De nombreuses organisations focalisent leurs efforts sur la sécurisation des accès entrants (pare-feu, WAF, IAM) et négligent la surveillance des communications sortantes depuis leurs serveurs. Un serveur qui commence soudainement à envoyer du trafic SMTP vers des dizaines de destinations externes est un signal d'alarme fort qui devrait déclencher une investigation immédiate.

La connexion avec le groupe TeamPCP et le ver Miasma, actifs simultanément en juin 2026, suggère une convergence des menaces ciblant les développeurs et l'infrastructure cloud. Les équipes de sécurité doivent traiter ces campagnes comme un phénomène coordonné plutôt qu'isolé, et renforcer simultanément leur posture sur les plans supply chain et cloud infrastructure.

Ce qu'il faut retenir

• PCPJack a construit un réseau de 230 relais SMTP en piratant des serveurs cloud légitimes AWS, Azure et GCP, exploitant leur réputation IP pour contourner les filtres anti-spam.
• Le toolkit s'appuie sur Sliver C2 et synchronise le pool de proxies toutes les 5 minutes, rendant difficile toute neutralisation pérenne sans action coordonnée entre fournisseurs cloud.
• Recommandation : activer la surveillance des flux SMTP sortants sur vos serveurs cloud et configurer des alertes sur toute activité de messagerie inhabituelle via GuardDuty (AWS) ou Defender for Cloud (Azure/GCP).