堆代码讯 在大众的认知中，普通互联网用户和企业往往是恶意黑客的主要攻击目标，但事实上，黑客并非“免疫”于攻击——有时，黑客自己也会成为被黑的对象。一场不寻常的黑客活动就上演了这样的戏码：一个不知名的黑客组织，将目标对准了已被多产网络犯罪团伙TeamPCP入侵过的系统，上演了一出黑产内部的“窝里斗”。

根据网络安全公司SentinelOne的最新报告，这个不知名黑客组织的操作极具针对性：一旦侵入被TeamPCP控制的系统，他们会第一时间将TeamPCP的黑客驱逐出去，并彻底删除其留在系统中的攻击工具，相当于“鸠占鹊巢”，夺取被入侵系统的控制权。夺取控制权后，这些黑客会利用已获得的访问权限部署特定代码。这些代码被设计成类似自我传播蠕虫的形态，能够在不同的云基础设施中自动复制，进而窃取系统内的各类凭证信息，最终将所有窃取到的数据发送回他们自己的基础设施，完成攻击闭环。

此次被针对的TeamPCP，并非无名之辈。作为一个活跃的网络犯罪团伙，该团伙在过去几周内因实施了一系列高调的黑客攻击而频频登上新闻头条。其攻击范围广泛且影响深远，不仅入侵了欧盟委员会的云基础设施，还对广泛使用的漏洞扫描工具Trivvy发起了大规模网络攻击——这一攻击直接影响了所有依赖该工具的公司，其中就包括LiteLLM和AI招聘初创公司Mercor等。

SentinelOne的高级研究员亚历克斯·德拉莫特率先发现了这一新的黑客活动，并将其命名为“PCPJack”。她在接受TechCrunch采访时表示，目前尚无法确定PCPJack背后的具体身份，但提出了三种合理推测：这些黑客要么是心怀不满的前TeamPCP成员，因内部矛盾转而攻击旧主；要么是与TeamPCP存在竞争关系的敌对黑客团伙，试图通过这种方式削弱对手实力；要么是第三方势力，“选择直接效仿TeamPCP早期活动的攻击工具”——要知道，TeamPCP早期的许多攻击都以云基础设施为目标，与PCPJack的攻击方向高度契合。

“PCPJack所针对的服务与去年12月至今年1月期间TeamPCP的活动高度相似——那是在2月至3月间该团伙成员据称发生变化之前，”德拉莫特补充道，这一细节也为其推测提供了间接支撑，暗示PCPJack的攻击可能与TeamPCP的内部变动或过往活动存在关联。德拉莫特还进一步指出，PCPJack的攻击范围并非仅限于被TeamPCP入侵的系统，他们也会主动扫描互联网上暴露的各类服务，例如虚拟机云平台Docker、运行MongoDB的数据库等。但SentinelOne明确表示，从攻击重心来看，该团伙的核心目标仍是TeamPCP，针对其他暴露服务的扫描更像是辅助行为。

值得注意的是，PCPJack的攻击行为带有明显的“炫耀”痕迹。根据SentinelOne的报告，这些黑客所使用的攻击工具，会自动记录他们成功将TeamPCP驱逐出被黑目标的数量，并将这一数据实时发回自己的基础设施，仿佛在量化自己的“战绩”。从攻击动机来看，PCPJack的目标纯粹是经济性的，所有操作都围绕“窃取凭证、实现变现”展开。他们的获利路径清晰，主要通过三种方式实现收益：一是转售窃取到的各类凭证信息；二是以“初始访问中介”的身份，出售被黑系统的访问权限——也就是黑客先侵入系统，再将访问权卖给付费客户，这也是当前网络黑产中常见的盈利模式；三是直接向被黑系统的所有者发起勒索，逼迫对方支付赎金。

不过，德拉莫特也发现了一个特殊之处：这些黑客并未尝试在被黑系统上安装加密货币挖矿软件。她推测，这一选择很可能是因为加密货币挖矿需要较长时间才能获得回报，而PCPJack更倾向于快速变现，追求短期收益。此外，根据德拉莫特的分析，在PCPJack的部分攻击行动中，其使用的域名暴露了他们的另一项操作：通过网络钓鱼手段获取密码管理器凭证，并搭建虚假的帮助台网站，诱导用户泄露敏感信息，进一步扩大攻击成果。

这场黑客之间的“内斗”，不仅展现了网络黑产内部的竞争与混乱，也从侧面反映出当前网络安全环境的复杂性。PCPJack与TeamPCP的对抗，本质上都是为了争夺非法利益，而无论是哪一方得手，最终遭受损失的仍可能是普通用户和企业。目前，SentinelOne仍在持续追踪PCPJack的相关活动，以期揭开其背后的真实身份，为网络安全防护提供参考。