✅ 보고서 제목: 위협 그룹 프로파일링: 팀PCP(TeamPCP)
✅ 보고서 요약:
📌 팀PCP(TeamPCP) 그룹은 어떤 조직인가요?
- TeamPCP는 2025년 12월에 등장하여 기업의 클라우드 환경을 집중적으로 공격하기 시작한 금전적 동기의 사이버 범죄 그룹으로, 이후 공급망 공격까지 확장된 공격 전략을 수행하고 있습니다.
- 이들은 스스로를 리브랜딩(Rebranding)된 그룹이라고 주장하고 있어, 기존 사이버 범죄 조직이 새로운 정체성으로 재편된 것으로 분석됩니다.
- 2026년 2월부터는 'CipherForce'라는 이름으로 자체적인 서비스형 랜섬웨어(RaaS)를 운영하고 데이터 유출 사이트를 가동했습니다.
📌 팀PCP(TeamPCP) 그룹의 딥다크웹(DDW) 활동 이력
- TeamPCP는 텔레그램 채널 운영 및 DDW 포럼 내 타 그룹과의 연합을 통해 영향력을 확장해왔습니다.
- CipherForce(ShellForce)라는 랜섬웨어를 운영하며 탈취 데이터 판매 및 Affiliate 모집 활동을 수행했습니다.
- TeamPCP 활동 이전에는 Darkforums, Breachforums, Breachstars 등 주요 DDW 포럼에서 기업 Access를 판매하였으며, DMT Host라는 서버 호스팅 서비스를 운영했습니다.
- TeamPCP의 Operator로 @bulkDMT 유저와 @a0164915 유저가 식별되었습니다.
📌 팀PCP(TeamPCP) 그룹의 공격 도구
- 자주 사용하는 악성코드로는 CanisterWorm이 존재하였으며, 이 외에도 백도어인 CanisterSprawl과 와이퍼인 kamikaze 등이 확인되었습니다.
📌 전술, 기법, 절차(Tactics, Techniques, and Procedures)
- TeamPCP는 클라우드 환경의 취약점을 악용하는 PCPcat 캠페인을 시작으로, 최근에는 Trivy, KICS, LiteLLM, Telnyx, Namastex와 같은 공급망 공격을 통해 자격 증명을 탈취하는 대규모 캠페인을 수행했습니다.
- Supply Chain 캠페인은 2026년 2월 말부터 3월 말까지 단계적으로 전개된 복합 공급망 공격으로, 단일 취약점 악용이 아닌 자격 증명 탈취를 중심으로 한 연쇄적 확산 구조를 기반으로 수행되었습니다.
- 공격자는 GitHub Actions, NPM, PyPI, Docker Hub 등 상호 연결된 개발 생태계를 하나의 공격 표면으로 간주하고, 초기 침해를 발판으로 인접 생태계로 확산하는 전략을 수행했습니다.
- 이 캠페인의 핵심은 단일 지점 침해가 아닌 자격 증명 탈취를 중심으로 한 연쇄적인 확산 구조에 있습니다. 공격자는 CI/CD 환경에서 확보한 높은 권한이 부여된 토큰을 활용하여 패키지 저장소, 보안 도구, AI 인프라 및 SDK 생태계까지 공격 범위를 확장했습니다. 이로 인해 개별 사건이 아닌 하나의 공격 체인으로서 공급망 전체가 연쇄적으로 오염되는 결과를 초래했습니다.
📌 연관 그룹 분석
- TeamPCP는 데이터 탈취 그룹인 LAPSUS$와 긴밀하게 협력 관계를 가지고 있는 것으로 드러났습니다.
- 랜섬웨어 그룹인 VECT와 공식 파트너십을 맺고 대규모 공급망 공격 및 후속 랜섬웨어 공격을 예고했습니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
- CI/CD와 소프트웨어 공급망을 악용해 자격 증명을 탈취하고 이를 기반으로 생태계 전반으로 확산되는 공격에 대비하여, 기업과 기관은 공급망 보안, 자격 증명 보호, CI/CD 실행 경로에 대한 행위 기반 탐지 체계를 최우선적으로 강화해야 합니다.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.