Een financieel gemotiveerde cybercrimegroep genaamd TeamPCP voert een wiper-aanval uit die zich specifiek richt op systemen met de Iraanse tijdzone of Farsi als standaardtaal. De aanval maakt gebruik van een worm, CanisterWorm, die zich verspreidt via slecht beveiligde cloudomgevingen en data wist op geïnfecteerde systemen.

De campagne tegen Iran kwam afgelopen weekend aan het licht en volgt op eerdere activiteiten van TeamPCP sinds december 2025. De groep compromitteerde toen bedrijfscloudomgevingen door kwetsbaarheden in Docker API's, Kubernetes-clusters, Redis-servers en de React2Shell-kwetsbaarheid te misbruiken. Vervolgens probeerden zij zich lateraal door netwerken te bewegen, waarbij zij authenticatiegegevens onderschepten en slachtoffers chanteerden via Telegram.

Volgens het beveiligingsbedrijf Flare, dat TeamPCP in januari profileerde, richt de groep zich vooral op cloudinfrastructuur, met name Azure (61%) en AWS (36%), en gebruikt zij geen nieuwe exploits maar een geautomatiseerde combinatie van bekende aanvalstechnieken. Op 19 maart voerde TeamPCP een supply chain-aanval uit op de kwetsbaarheidsscanner Trivy van Aqua Security, waarbij zij kwaadaardige software injecteerden in officiële releases op GitHub Actions. Aqua Security verwijderde de schadelijke bestanden, maar de aanvallers slaagden erin om SSH-sleutels, cloudcredentials, Kubernetes-tokens en cryptowallets te stelen.

In het weekend werd dezelfde infrastructuur gebruikt om een nieuwe payload te verspreiden die een wiper-aanval uitvoert als de tijdzone en taalinstellingen overeenkomen met Iran. Volgens securityonderzoeker Charlie Eriksen van Aikido wist de worm bij toegang tot een Kubernetes-cluster alle data op elke node te vernietigen, anders wist hij alleen de lokale machine. TeamPCP gebruikt hiervoor een Internet Computer Protocol (ICP) canister, een blockchain-gebaseerd systeem dat campagnes moeilijk offline te halen maakt zolang virtuele kosten worden betaald.

De groep pronkt openlijk met hun aanvallen in een Telegram-groep en claimt grote hoeveelheden gevoelige data te hebben gestolen, onder meer van een grote farmaceutische multinational. Daarnaast verstuurden zij spam via gehackte GitHub-accounts, vermoedelijk om besmette codepakketten zichtbaar te houden in zoekresultaten. De campagne toont een geavanceerde en geautomatiseerde aanpak van cloudgerichte aanvallen met aanzienlijke impact.