De dreigingsactor bekend als PCPJack heeft cloudservers van Amazon Web Services (AWS), Google Cloud en Microsoft Azure gekaapt om een verborgen SMTP e-mailrelay netwerk te creëren. Volgens het cybersecuritybedrijf Hunt.io werden gecompromitteerde zakelijke servers in de Verenigde Staten, Europa en Azië stilletjes omgevormd tot SMTP-proxy’s, die elke vijf minuten werden gesynchroniseerd met een downstream server. De infrastructuur was nog actief toen deze werd ontdekt.

Hunt.io vond op een command-and-control (C2) server zonder authenticatie twee open directories met onder meer broncode, gecompileerde binaries, deployment logs, internet scanners, exploitatie tools en een live configuratie van Sliver. PCPJack werd voor het eerst ontdekt door SentinelOne in april 2026, na het identificeren van een credential theft framework dat specifiek cloudservices aanviel en probeerde sporen van TeamPCP te verwijderen, een andere bekende hackinggroep die recentelijk opviel door software supply chain aanvallen.

In de open directories werd een Sliver-geïntegreerde SMTP proxy deployment toolkit aangetroffen, samen met Chisel tunneling en proxy binaries voor diverse Linux CPU-architecturen zoals AMD64, ARM64 en x86. Op de slachtoffers werd de binary als een verborgen bestand geplaatst en gepersistent op '/var/tmp/.xs'. Daarnaast bevatten de directories scripts die de Sliver C2 client configuratie laden en Linux beacons filteren die recentelijk contact hadden gemaakt met de C2 server. Deze beacons zijn implants die periodiek verbinding maken met de C2 server om opdrachten te ontvangen.

Elke beacon krijgt een SOCKS5 proxypoort toegewezen op basis van een MD5-hash van zijn Sliver UUID, wat consistentie over verschillende runs garandeert zonder gedeeld poortregister. De deployer scripts bevatten ook een SMTP quality gate die controleert of de host uitgaande verbindingen naar smtp.gmail.com:587 kan maken. Hosts die deze test niet doorstaan, worden overgeslagen. Dit bevestigt dat alleen hosts met e-mail relay mogelijkheden waardevol zijn voor het netwerk.

De scripts verwerken beacons in batches van 50 met wachttijden tussen uploads en opdrachten om langzame check-ins te accommoderen. Latere versies van de scripts verwijderden deze SMTP gate en batching logica. Ook werd een diagnostisch script gevonden dat vijf actieve beacons selecteert om shell-commando’s uit te voeren die onder andere controleren op aanwezigheid van Chisel binaries, draaiende processen, schijfruimte, bereikbaarheid van poort 9000 op de C2 server en persistentie-artifacten zoals cron jobs of systemd services.

De C2 server draait een Python script 'chisel_verifier.py' als achtergrondproces, dat elke minuut actieve Chisel tunnelpoorten controleert, SMTP-capaciteit test en tunnels verwijdert die niet meer functioneren. Geverifieerde proxies worden verrijkt met informatie over exit IP-adres, land en ASN via externe diensten. De proxylijsten worden vervolgens elke vijf minuten via Secure Copy Protocol (SCP) gesynchroniseerd naar een downstream server die momenteel niet bereikbaar is.

Het uiteindelijke doel van deze operatie is nog onduidelijk. Hunt.io stelt dat de 230-node infrastructuur het zichtbare resultaat is, maar niet kan bepalen of dit werk is van één enkele actor of meerdere die dezelfde infrastructuur delen. Meer details zijn te vinden in de uitgebreide analyse van Hunt.io.