🛡 MALWARE 🛡

‘CanisterWorm’ desata un ataque wiper dirigido a Irán

⏰24 de marzo de 2026🛡CyberObservatorio

Idioma

◢ MALWARE ◣

‘CanisterWorm’ desata un ataque wiper dirigido a Irán

⟫ 23/03/2026 ⟫ BrianKrebs

Fuente: Krebs on Security

### Introducción contextual

En un panorama global donde la ciberseguridad se ha vuelto una preocupación primordial para gobiernos y empresas, la reciente actividad de un grupo de ciberdelincuentes ha levantado serias alarmas. TeamPCP, un colectivo motivado por el robo de datos y la extorsión, ha decidido involucrarse en el conflicto en Irán mediante una campaña de ciberataques que utiliza un gusano informático diseñado para destruir datos en sistemas que operan en la zona horaria de Irán o que tienen el farsi como idioma predeterminado. Este tipo de actividad no solo refleja una tendencia alarmante en el uso de la ciberseguridad como una herramienta de guerra, sino que también pone en riesgo la integridad de infraestructuras críticas y la privacidad de los ciudadanos iraníes y de las empresas que operan en la región.

El impacto de estos ataques se extiende más allá de Irán, afectando a entidades corporativas y gubernamentales que dependen de la tecnología en la nube. En un mundo cada vez más interconectado, las consecuencias de tales acciones pueden tener ramificaciones globales, afectando a usuarios y empresas en diversas geografías.

### Detalles técnicos

TeamPCP ha comenzado a comprometer entornos de nube corporativos utilizando un gusano auto-replicante que explota las vulnerabilidades de las API de Docker expuestas, clústeres de Kubernetes, servidores Redis y la vulnerabilidad React2Shell. Este gusano, denominado "CanisterWorm", busca y destruye datos en sistemas que coinciden con la zona horaria de Irán, lo que lo convierte en una herramienta precisa y letal.

Los expertos en ciberseguridad han señalado que la campaña de limpieza de datos se materializó a finales de la semana pasada. El equipo detrás de TeamPCP ha sido descrito como innovador no por sus exploits originales, sino por su capacidad para automatizar y escalar técnicas de ataque ya conocidas. Según Assaf Morag, de la firma de seguridad Flare, la verdadera fortaleza de TeamPCP radica en la industrialización de vulnerabilidades existentes y configuraciones erróneas, transformando estas debilidades en una plataforma de explotación nativa de la nube.

El ataque más reciente de TeamPCP se efectuó el 19 de marzo, cuando llevaron a cabo un ataque a la cadena de suministro contra el escáner de vulnerabilidades Trivy, de Aqua Security. En este ataque, inyectaron malware que roba credenciales en lanzamientos oficiales en GitHub. Aunque Aqua Security ha afirmado haber eliminado estos archivos dañinos, la firma Wiz ha señalado que los atacantes lograron publicar versiones maliciosas que robaron claves SSH, credenciales en la nube, tokens de Kubernetes y billeteras de criptomonedas de los usuarios.

### Impacto y consecuencias

El impacto de las acciones de TeamPCP es significativo. La capacidad de este grupo para infiltrarse y comprometer entornos de nube puede resultar en pérdidas millonarias para las empresas afectadas, además de poner en riesgo datos sensibles de clientes y empleados. La extorsión a través de Telegram, donde este grupo ha estado operando, añade un nivel de amenaza que puede llevar a las víctimas a pagar rescates considerables para recuperar el acceso a su información.

La preocupación por la seguridad en plataformas como GitHub se ha intensificado, dado que los atacantes pueden utilizar técnicas de spam para mantener la visibilidad de paquetes maliciosos. Esto plantea un desafío no solo para las empresas que desarrollan software, sino también para cualquier entidad que dependa de estas herramientas para su funcionamiento diario.

### Contexto histórico

Este ataque no es un caso aislado. En los últimos meses, se ha observado un aumento en la frecuencia de ataques a la cadena de suministro, lo que indica que los actores maliciosos están comenzando a comprender la eficacia de estas estrategias. En febrero, Trivy ya había sido víctima de otro ataque automatizado conocido como HackerBot-Claw, que explotó flujos de trabajo mal configurados en GitHub Actions para robar tokens de autenticación.

A medida que estos incidentes se vuelven más comunes, los expertos advierten sobre la creciente complejidad de identificar y mitigar tales amenazas. La ciberseguridad se está convirtiendo en un campo de batalla donde la innovación en técnicas de ataque corre a la par de los esfuerzos defensivos.

### Recomendaciones

En respuesta a estas amenazas, es imperativo que las empresas implementen medidas de seguridad robustas, incluyendo la revisión constante de sus configuraciones de nube y el uso de herramientas de escaneo de vulnerabilidades para detectar y mitigar posibles ataques. También es crucial fomentar la capacitación en ciberseguridad entre los empleados para que puedan reconocer y reportar actividades sospechosas.

Las plataformas como GitHub deben reforzar sus mecanismos de seguridad para detectar y eliminar rápidamente cualquier código malicioso. La comunidad de desarrolladores también puede jugar un papel vital al estar alerta a cualquier actividad inusual y al colaborar en la creación de estándares de seguridad más eficaces.

El caso de TeamPCP nos recuerda que, en un mundo cada vez más digitalizado, la vigilancia constante y la adaptación son esenciales para protegerse contra las amenazas emergentes en el panorama cibernético. La cooperación entre empresas, gobiernos y comunidades de ciberseguridad será fundamental para enfrentar estos desafíos en constante evolución.

◢ MALWARE ◣

‘CanisterWorm’ Springs Wiper Attack Targeting Iran

⟫ 23/03/2026 ⟫ BrianKrebs

Source: Krebs on Security

A financially motivated data theft and extortion group is attempting to inject itself into the Iran war, unleashing a worm that spreads through poorly secured cloud services and wipes data on infected systems that use Iran’s time zone or have Farsi set as the default language. Experts say the wiper campaign against Iran materialized this past weekend and came from a relatively new cybercrime group known asTeamPCP. In December 2025, the group began compromising corporate cloud environments using a self-propagating worm that went after exposed Docker APIs, Kubernetes clusters, Redis servers, and the React2Shell vulnerability. TeamPCP then attempted to move laterally through victim networks, siphoning authentication credentials and extorting victims over Telegram. A snippet of the malicious CanisterWorm that seeks out and destroys data on systems that match Iran’s timezone or have Farsi as the default language. Image: Aikido.dev. In a profile of TeamPCP published in January, the security firmFlaresaid the group weaponizes exposed control planes rather than exploiting endpoints, predominantly targeting cloud infrastructure over end-user devices, with Azure (61%) and AWS (36%) accounting for 97% of compromised servers. “TeamPCP’s strength does not come from novel exploits or original malware, but from the large-scale automation and integration of well-known attack techniques,” Flare’sAssaf Moragwrote. “The group industrializes existing vulnerabilities, misconfigurations, and recycled tooling into a cloud-native exploitation platform that turns exposed infrastructure into a self-propagating criminal ecosystem.” On March 19, TeamPCP executed a supply chain attack against the vulnerability scannerTrivyfromAqua Security, injecting credential-stealing malware into official releases on GitHub actions. Aqua Security said it has sinceremovedthe harmful files, but the security firm Wiznotesthe attackers were able to publish malicious versions that snarfed SSH keys, cloud credentials, Kubernetes tokens and cryptocurrency wallets from users. Over the weekend, the same technical infrastructure TeamPCP used in the Trivy attack was leveraged to deploy a new malicious payload which executes a wiper attack if the user’s timezone and locale are determined to correspond to Iran, saidCharlie Eriksen, a security researcher atAikido. Ina blog postpublished on Sunday, Eriksen said if the wiper component detects that the victim is in Iran and has access to a Kubernetes cluster, it will destroy data on every node in that cluster. “If it doesn’t it will just wipe the local machine,” Eriksen told KrebsOnSecurity. Image: Aikido.dev. Aikido refers to TeamPCP’s infrastructure as “CanisterWorm” because the group orchestrates their campaigns using anInternet Computer Protocol(ICP) canister — a system of tamperproof, blockchain-based “smart contracts” that combine both code and data. ICP canisters can serve Web content directly to visitors, and their distributed architecture makes them resistant to takedown attempts. These canisters will remain reachable so long as their operators continue to pay virtual currency fees to keep them online. Eriksen said the people behind TeamPCP are bragging about their exploits in a group on Telegram and claim to have used the worm to steal vast amounts of sensitive data from major companies, including a large multinational pharmaceutical firm. “When they compromised Aqua a second time, they took a lot of GitHub accounts and started spamming these with junk messages,” Eriksen said. “It was almost like they were just showing off how much access they had. Clearly, they have an entire stash of these credentials, and what we’ve seen so far is probably a small sample of what they have.” Security experts say the spammed GitHub messages could be a way for TeamPCP to ensure that any code packages tainted with their malware will remain prominent in GitHub searches. In a newsletter published today titledGitHub is Starting to Have a Real Malware Problem,Risky BusinessreporterCatalin Cimpanuwrites that attackers often are seen pushing meaningless commits to their repos or using online services that sell GitHub stars and “likes” to keep malicious packages at the top of the GitHub search page. This weekend’s outbreak is thesecond major supply chain attackinvolving Trivy in as many months. At the end of February, Trivy was hit as part of an automated threat calledHackerBot-Claw, which mass exploited misconfigured workflows in GitHub Actions to steal authentication tokens. Eriksen said it appears TeamPCP used access gained in the first attack on Aqua Security to perpetrate this weekend’s mischief. But he said there is no reliable way to tell whether TeamPCP’s wiper actually succeeded in trashing any data from victim systems, and that the malicious payload was only active for a short time over the weekend. “They’ve been taking [the malicious code] up and down, rapidly changing it adding new features,” Eriksen said, noting that when the malicious canister wasn’t serving up malware downloads it was pointing visitors toa Rick Roll videoon YouTube. “It’s a little all over the place, and there’s a chance this whole Iran thing is just their way of getting attention,” Eriksen said. “I feel like these people are really playing this Chaotic Evil role here.” Cimpanu observed that supply chain attacks have increased in frequency of late as threat actors begin to grasp just how efficient they can be, and his post documents an alarming number of these incidents since 2024. “While security firms appear to be doing a good job spotting this, we’re also gonna need GitHub’s security team to step up,” Cimpanu wrote. “Unfortunately, on a platform designed to copy (fork) a project and create new versions of it (clones), spotting malicious additions to clones of legitimate repos might be quite the engineering problem to fix.” Update, 2:40 p.m. ET:Wiz isreportingthat TeamPCP also pushed credential stealing malware to theKICSvulnerability scanner fromCheckmarx, and that the scanner’s GitHub Action was compromised between 12:58 and 16:50 UTC today (March 23rd).

𝐗 Twitter f Facebook ☎ WhatsApp ✈ Telegram

← VOLVER A CIBERSEGURIDAD