PCPJack이 230개의 AWS, Google Cloud 및 Azure 서버를 탈취해 은밀한 SMTP 릴레이 네트워크 구축

Source: The Hacker News

Overview

Ravie Lakshmanan – Jun 05, 2026 – Threat Intelligence / Cloud Security

위협 행위자 PCPJack은 Amazon Web Services (AWS), Google Cloud, Microsoft Azure와 연계된 클라우드 서버를 탈취해 은밀한 SMTP 이메일 릴레이 네트워크를 구축했습니다.

“미국, 유럽, 아시아 전역에 퍼진 비즈니스 서버가 조용히 SMTP 프록시로 전환되고, 메일 릴레이 기능이 검증된 뒤 5분마다 하위 소비자와 동기화되었습니다,” 라고 Hunt.io는 성명에서 밝혔습니다. “우리가 발견했을 때 인프라는 아직 가동 중이었습니다.”

위협 인텔리전스 기업은 [해당 C2 서버(213.136.80[.]73)에 인증 없이 남겨진 두 개의 공개 디렉터리에서 소스 코드, 컴파일된 바이너리, 배포 상태 로그, 인터넷 스캐너, 악용 도구, 그리고 실시간 Sliver 설정 파일을 찾았다고 말했습니다(https://hunt.io/blog/pcpjack-230-cloud-servers-smtp-proxy-network-sliver-chisel).

PCPJack은 2026년 4월 SentinelOne에 의해 첫 번째로 발견되었습니다(https://thehackernews.com/2026/05/pcpjack-credential-stealer-exploits-5.html). SentinelOne은 클라우드 서비스를 특별히 표적하는 자격 증명 탈취 프레임워크를 식별했으며, 동시에 또 다른 악명 높은 해킹 그룹인 TeamPCP와 연관된 프로세스나 아티팩트를 종료·제거하는 조치를 취했습니다.

Deployment Toolkit

공개 디렉터리 중 하나에는 Sliver와 통합된 SMTP 프록시 배포 툴킷이 포함되어 있으며, Chisel 터널링 및 대부분의 Linux CPU 아키텍처(AMD64, ARM64, x86)를 위한 프록시 바이너리도 함께 제공됩니다. 피해자 측에서는 이 바이너리가 숨김 파일(.xs) 형태로 /var/tmp/.xs에 배치됩니다.

이 디렉터리에는 Sliver C2 클라이언트 설정을 로드하고, 최근 10분 이내에 체크인한 Linux 비콘을 필터링하는 배포 스크립트도 포함되어 있습니다. 비콘은 주기적으로 C2 서버에 연결해 명령을 받아오는 임플란트입니다.

“각 비콘은 Sliver UUID의 MD5 해시를 기반으로 결정된 SOCKS5 프록시 포트를 할당받으며, 포트 범위는 10000‑14999 사이로 매핑됩니다,” 라고 Hunt.io는 설명했습니다. “같은 비콘은 실행마다 동일한 포트에 매핑되므로 공유 포트 레지스트리가 필요 없습니다.”

스크립트는 또한 smtp.gmail[.]com:587에 대한 아웃바운드 접근을 탐색하는 SMTP 품질 게이트를 실행할 수 있습니다. 이 검사를 통과하지 못한 호스트는 종료 코드 0으로 건너뛰어집니다.

“이 게이트는 작업 목적을 정의합니다: 이메일을 릴레이할 수 없는 호스트는 이 파이프라인에 가치가 없습니다,” 라고 사이버 보안 업체는 덧붙였습니다. “비콘은 50개씩 배치 처리되며, 업로드 후 25분, 실행 명령 후 15분을 대기해 느린 간격의 비콘 체크인을 수용합니다.”

Script Evolution

배포 스크립트의 후속 버전에서는 SMTP 게이트와 배치 처리를 제거하고 … (이하 내용은 다음 파트에 이어집니다)

Source: …

ng logic. They also include a diagnostic script that selects five active beacons and tasks each with a shell command checking for:

• Presence of Chisel binaries at known drop paths
• A running Chisel process
• Disk‑space availability
• Reachability of port 9000 on the C2
• Persistence artifacts such as cron entries or systemd services

C2 Server Operations

The C2 server runs a persistent Python daemon chisel_verifier.py that enumerates active Chisel tunnel ports via ss -tlnp every 60 seconds, tests each new port for SMTP capability, and removes failed or dropped tunnels from the active pool.

Verified proxies are enriched with exit IP address, country, and ASN via services like api.ipify[.]org and ip‑api[.]com. The proxy lists are then synced every five minutes via SCP to a downstream server at 38.242.204[.]245. That server is currently not accessible. The ultimate goal of the operation remains unclear.

“The 230‑node outcome is the observable result. Whether this progression reflects a single operator iterating or multiple actors sharing the same infrastructure cannot be determined from the recovered files,” Hunt.io said, describing it as an opportunistic campaign.

“The verified proxy list is being synced every five minutes”