PCPJack : le ver cloud qui dégage ses rivaux et pille les credentials

Ce qui s'est passé

Une nouvelle souche d'autoréplication cloud, baptisée PCPJack, a été détaillée début mai 2026 par les chercheurs de SentinelLabs après une première détection le 28 avril via une règle de chasse VirusTotal focalisée sur Kubernetes. The Hacker News, BleepingComputer et SecurityWeek ont relayé l'analyse entre le 7 et le 11 mai, et l'affaire monte rapidement dans la priorité des équipes cloud-natives. Le ver vise spécifiquement les infrastructures conteneurisées et bases de données NoSQL exposées : Docker, Kubernetes, Redis, MongoDB, le framework de machine learning Ray ML, ainsi que diverses applications web vulnérables.

La particularité comportementale de PCPJack est ce que SentinelLabs qualifie de « tueur de rivaux » : avant de s'installer durablement, le ver détecte la présence d'artefacts liés à TeamPCP — un cluster cryptojacking actif depuis 2024 — et les supprime systématiquement. Les opérateurs récupèrent donc des machines déjà compromises, en évincent le précédent occupant, et capitalisent sur l'accès résiduel. Cette mécanique d'éviction n'est pas qu'un détail technique : elle suggère un acteur qui connaît intimement les méthodes de TeamPCP et qui pourrait être un ancien affilié, hypothèse retenue par les chercheurs.

Sur la propagation, PCPJack combine cinq CVE déjà publiées mais imparfaitement patchées sur le terrain : CVE-2025-55182, CVE-2025-29927, CVE-2026-1357, CVE-2025-9501 et CVE-2025-48703. Ces failles couvrent des frameworks web modernes (Next.js, NestJS), des composants de container runtime, et des configurations Redis ou MongoDB exposées sans authentification. Le ver tente d'abord une exécution locale pour voler des credentials, puis se sert de ces accès pour pivoter latéralement vers d'autres workloads dans le même cluster ou le même VPC.

Pour cibler de nouveaux hôtes au-delà du périmètre initial, PCPJack télécharge des fichiers parquet issus du projet Common Crawl — qui indexe régulièrement le web public — pour en extraire des noms d'hôtes et des sous-domaines exposés. Cette astuce contourne les approches classiques de scan internet (Masscan, ZMap) en s'appuyant sur des données précalculées et légitimement distribuées. SentinelLabs estime que jusqu'à 104 millions d'entrées peuvent être balayées en un seul cycle, sans coordination centralisée, ce qui rend la cinétique de propagation difficile à freiner par blocage d'IP source.

Côté commande et contrôle, le ver utilise des canaux Telegram chiffrés pour exfiltrer les credentials récoltés et recevoir des instructions. Cette préférence pour Telegram simplifie l'opérateur et complique la détection réseau : les flux sortants ressemblent à du trafic d'application légitime. Les credentials volés couvrent un spectre très large — clés AWS / GCP / Azure, jetons GitHub et GitLab, identifiants Slack, configurations Terraform, secrets de pipelines CI/CD, mais aussi des comptes de services financiers et de fournisseurs SaaS de productivité (Notion, Linear, Atlassian).

Le modèle de monétisation est volontairement diversifié. SentinelLabs identifie quatre canaux principaux : revente d'accès initiaux à des courtiers (IAB), fraude bancaire sur les comptes SaaS financiers, campagnes de spam et de phishing depuis les comptes mail compromis, et extorsion ciblée des entreprises dont les sauvegardes ou les buckets S3 ont été détectés. Cette polyvalence — loin d'une logique cryptojacking pure — fait de PCPJack un acteur économique plus sérieux que ses concurrents, et explique probablement la priorité qu'il accorde à exclure TeamPCP de ses machines.

BleepingComputer note aussi un comportement inhabituel : le ver vérifie la posture de défense de chaque hôte avant de s'installer durablement. S'il détecte un agent EDR récent, une politique AppArmor restrictive ou des SELinux modules actifs, il opte pour une persistance plus discrète (cron via fichier temp, plutôt que systemd), au prix d'une moindre stabilité. Cette adaptation dynamique le rend plus dur à classifier par signature et nécessite une détection comportementale, notamment sur les patterns d'utilisation de cron et les téléchargements parquet depuis Common Crawl.

Aucune attribution étatique ne ressort des indicateurs publiés. Les références dans le code et l'horaire d'activité suggèrent un acteur opportuniste, vraisemblablement russophone, opérant pour un gain financier direct. La volumétrie observée par SentinelLabs à ce stade reste modérée — quelques milliers d'infections confirmées — mais la trajectoire est ascendante, et la fenêtre d'opportunité existe tant que les cinq CVE exploitées resteront non patchées sur le terrain.

Pourquoi c'est important

PCPJack illustre un basculement net dans le paysage du cryptojacking et du vol de credentials cloud. La génération précédente — TeamTNT, WatchDog, Kinsing — se contentait de bots opportunistes en quête de cycles CPU pour miner du Monero. PCPJack passe à un modèle d'entreprise : credentials cloud monétisables, ciblage SaaS financier, infrastructure de propagation asymétrique via Common Crawl, et stratégie de marché qui élimine activement la concurrence. Les défenseurs doivent désormais raisonner en termes de « marchés de l'accès cloud » plus que de « bot agressif isolé ».

Pour les équipes DevSecOps, la priorité technique immédiate est connue mais souvent négligée : aucune ressource Docker, Kubernetes, Redis ou MongoDB ne doit être exposée publiquement sans authentification forte. Les inventaires d'actifs cloud doivent intégrer une catégorie « datastore exposé » et déclencher une alerte si un cluster Redis ou une base MongoDB répond sur 0.0.0.0 sans contrôle d'accès. Les Network Policies Kubernetes, parfois sous-utilisées, redeviennent un élément central : elles limitent la propagation latérale dans un cluster même si un pod est compromis.

Sur le terrain de la gestion des secrets, PCPJack relance le débat sur le stockage des credentials cloud. Les variables d'environnement et les fichiers de configuration restent les principales cibles. Les organisations qui n'ont pas encore adopté un coffre-fort dynamique (HashiCorp Vault, AWS Secrets Manager, GCP Secret Manager, Azure Key Vault) avec rotation automatique exposent leurs accès à un risque disproportionné. La rotation périodique seule ne suffit plus : il faut une rotation déclenchée par événement (commit suspect, déconnexion, alerte EDR), un principe qui exige une intégration entre SIEM, IAM et systèmes de secret.

Enfin, l'affaire pèsera sur la conformité. Un opérateur essentiel NIS2 dont les credentials AWS ou Azure auraient été exfiltrés vers Telegram doit considérer cela comme un incident significatif déclencheur de notification à l'ANSSI. La traçabilité des accès via CloudTrail, Azure Monitor ou Google Cloud Audit Logs devient un sujet de gouvernance plus que de simple SecOps. Le projet de directive européenne sur la cybersécurité du cloud (CSP) renforcera dans les mois à venir les exigences de transparence sur ces incidents, et PCPJack fera probablement partie des cas d'école présentés en formation par les autorités sectorielles.

Ce qu'il faut retenir

• Aucun datastore Redis, MongoDB, Kubernetes ou Docker ne doit être exposé en clair sur Internet, même en environnement de test.
• Patcher en urgence les cinq CVE exploitées par PCPJack et auditer les workloads cloud pour la présence d'artefacts TeamPCP et PCPJack.
• Activer la rotation de credentials cloud par événement, pas seulement périodique, et déployer des Network Policies strictes sur Kubernetes.