La industria del cibercrimen está entrando en una nueva etapa de competencia, impulsada por grupos de hackers que ahora buscan apropiarse de infraestructuras previamente vulneradas por otros atacantes para maximizar sus ganancias ilícitas.

Un reciente estudio de la firma de ciberseguridad SentinelOne ha encendido las alarmas de ciberseguridad en todo el mundo tras revelar una nueva tendencia en la industria del cibercrimen: los grupos de hackers están atacando sistemas que previamente ya habían sido comprometidos por otros ciberdelincuentes, expulsándolos para quedarse con el control de la infraestructura y las credenciales robadas.

La investigación, publicada por el equipo SentinelLabs, descubrió un nuevo tipo de malware llamado “PCPJack”, impulsada por código malicioso diseñado para infiltrarse en entornos de nube vulnerables, detectar infecciones asociadas con el grupo TeamPCP y posteriormente eliminarlas para desplegar su propia operación criminal. Este comportamiento refleja cómo los atacantes están comenzando a competir entre sí por accesos, datos y capacidad de monetización dentro del mercado clandestino digital.

¿Qué es PCPJack y por qué llamó la atención los especialistas de SentinelOne?

De acuerdo con el informe publicado por SentinelOne, PCPJack opera principalmente sobre infraestructuras Linux y entornos cloud expuestos públicamente. El malware inicia con scripts que escanean los sistemas comprometidos para identificar procesos y archivos relacionados con TeamPCP, un conocido grupo de ciberdelincuentes especializado en campañas dirigidas a ecosistemas cloud, contenedores y cadenas de suministro de software.

Una vez identificado el compromiso previo, el malware elimina rastros de la operación rival y descarga nuevos módulos maliciosos desde infraestructura alojada en AWS S3. Posteriormente, crea entornos virtuales de Python para ejecutar herramientas enfocadas en el robo masivo de credenciales y la expansión lateral dentro de la red comprometida.

El hallazgo llamó especialmente la atención de los investigadores porque evidencia una especie de “guerra territorial” entre los hackers. En lugar de enfocarse únicamente en atacar empresas vulnerables, algunos grupos ahora buscan apropiarse de operaciones criminales ya establecidas, desplazando a otros ciberdelincuentes para explotar los recursos comprometidos bajo su propio control.

El robo de credenciales se convierte en el nuevo gran objetivo

Además del comportamiento inusual, según los expertos de SentinelOne la campaña PCPJack también refleja un cambio importante en la evolución del cibercrimen moderno. A diferencia de muchas operaciones dirigidas a infraestructuras de nube, en este caso el malware no parece estar enfocado en dañar la capacidad computacional de las víctimas, sino en robar sus credenciales, identidades digitales y accesos corporativos que posteriormente podrían utilizarse para fraude, spam, extorsión o venta de datos en mercados clandestinos.

Los investigadores señalaron que el malware es capaz de atacar múltiples tecnologías empresariales ampliamente utilizadas, incluyendo Docker, Kubernetes, Redis, MongoDB y diversas aplicaciones web vulnerables. Esto amplifica el riesgo para organizaciones que operan ambientes híbridos y arquitecturas basadas en contenedores, particularmente aquellas con configuraciones inseguras o servicios expuestos a internet.

El cibercrimen se vuelve cada vez más competitivo

El descubrimiento de la campaña de malware PCPJack evidencia que hoy en día los ciberdelincuentes no solo compiten contra empresas y gobiernos, sino también entre ellos mismos. Actualmente, la lucha por controlar accesos comprometidos y maximizar ganancias ilícitas está generando dinámicas similares a las de mercados altamente competitivos, pero dentro del terreno del crimen digital.

En este contexto, SentinelOne recomienda a las organizaciones reforzar el monitoreo de infraestructura de nube, limitar la exposición pública de servicios críticos, implementar autenticación multifactor y mantener vigilancia constante sobre actividades anómalas en contenedores, clusters y sistemas Linux.

En un mundo donde las identidades digitales y los accesos corporativos se han convertido en uno de los activos más valiosos para los ciberdelincuentes, casos como PCPJack demuestran que el cibercrimen está evolucionando a gran velocidad hacia operaciones más sofisticadas, automatizadas y agresivas, elevando aún más los riesgos para las organizaciones que dependen de infraestructuras en la nube.