✅ レポートタイトル：脅威グループのプロファイリング：『TeamPCP』

✅ レポートの要約：

📌 『TeamPCP』グループとはどのような組織ですか？

- 『TeamPCP』は2025年12月に出現した金錢目的のサイバー犯罪グループで、企業のクラウド環境への攻撃を中心に活動を開始し、その後サプライチェーン攻撃へと戦略を拡大しています。

- 同グループは自らをリブランドされたグループと主張しており、既存のサイバー犯罪組織が新たなアイデンティティで再編されたものと分析されています。

- 2026年2月以降、『CipherForce』の名称で独自のランサムウェア・アズ・ア・サービス（RaaS）を運営し、データリークサイトを稼働させています。

📌 DDWおよびTelegram上での活動

- 『TeamPCP』はTelegramチャンネルの運営と、DDWフォーラム内での他グループとの連携を通じて影響力を拡大してきました。

- 『CipherForce（ShellForce）』ランサムウェアを運営し、窃取データの販売やアフィリエイトの募集活動を行っています。

- 『TeamPCP』として活動する以前は、Darkforums、Breachforums、Breachstarsなど主要なDDWフォーラムで企業アクセスを販売し、『DMT Host』というサーバーホスティングサービスを運営していました。

- 『TeamPCP』のオペレーターとして、ユーザー @bulkDMT および @a0164915 が特定されています。

📌 『TeamPCP』グループの攻撃ツール

- 頻繁に使用されるマルウェアとしてCanisterWormが確認されており、そのほかバックドアのCanisterSprawlやワイパーkamikaze等も確認されています。

📌 戦術・技術・手順（Tactics, Techniques, and Procedures）

- 『TeamPCP』はクラウド環境の脆弱性を悪用するPCPcatキャンペーンを皮切りに、最近ではTrivy、KICS、LiteLLM、Telnyx、Namastexをターゲットとしたサプライチェーン攻撃を通じて認証情報を窃取する大規模なキャンペーンを実施しています。

- このサプライチェーンキャンペーンは2026年2月末から3月末にかけて段階的に展開された複合的なサプライチェーン攻撃であり、単一の脆弱性悪用ではなく、認証情報の窃取を起点とした連鎖的な拡散構造に基づいて実行されました。

- 脅威アクターはGitHub Actions、NPM、PyPI、Docker Hubなど相互に連携した開発エコシステムを単一の攻撃対象として捕え、初期侵害を足がかりに隔隣するエコシステムへ拡散する戦略をとりました。

- このキャンペーンの核心は、単一の侵害ポイントではなく、認証情報の窃取を中心とした連鎖的な拡散構造にあります。脅威アクターはCI/CD環境で取得した高権限トークンを活用し、パッケージリポジトリ、セキュリティツール、AIインフラ、SDKエコシステムにまで攻撃範囲を拡大しました。その結果、個別の事案ではなく、一つの攻撃チェーンとしてサプライチェーン全体が連鎖的に汚染される事態を招いたました。