Um grupo misterioso de cibercriminosos iniciou uma campanha para assumir o controle de servidores e sistemas anteriormente invadidos pelo coletivo TeamPCP. De acordo com relatos publicados nesta quinta-feira (07/05), os novos invasores não apenas acessam os ambientes vulneráveis, mas também removem sistematicamente as ferramentas de hacking e os acessos mantidos pelos ocupantes anteriores.
A dinâmica do sequestro de acessos
A operação funciona como um tipo de pirataria digital moderna. O grupo desconhecido utiliza as mesmas brechas e backdoors deixados pelo TeamPCP para entrar nos sistemas. Uma vez estabelecidos, eles executam scripts de limpeza que identificam e eliminam o software malicioso conhecido como “TeamPCP cloud stealer”, além de revogar chaves de API e tokens de acesso que estavam sob posse do grupo rival.
Especialistas em segurança digital indicam que essa tática visa garantir a exclusividade dos recursos comprometidos. Ao expulsar o TeamPCP, os novos invasores asseguram que toda a capacidade de processamento dos servidores — frequentemente utilizada para mineração de criptomoedas ou ataques de negação de serviço (DDoS) — seja direcionada apenas para seus próprios objetivos, eliminando a concorrência interna nos sistemas das vítimas.
Quem é o grupo TeamPCP e por que isso importa
O TeamPCP ganhou notoriedade global entre março e abril de 2026 após liderar ataques massivos à cadeia de suprimentos de ferramentas de segurança. O grupo foi responsável por comprometer o scanner de vulnerabilidades Trivy e a biblioteca de inteligência artificial LiteLLM, afetando milhares de ambientes de nuvem em plataformas como AWS e Azure. A invasão mais recente atribuída a eles envolveu o vazamento de 92 GB de dados da Comissão Europeia.
A investida do novo grupo contra o TeamPCP ocorre em um momento crítico. O TeamPCP havia anunciado recentemente parcerias com grupos de ransomware, como o Vect Ransomware Group, para operacionalizar os acessos obtidos através de suas campanhas de supply chain. Com a expulsão ruidosa desses acessos, muitos dos ataques de extorsão planejados podem ter sido neutralizados ou simplesmente transferidos para as mãos de um novo controlador ainda desconhecido.
- Impacto Forense: A remoção de ferramentas dificulta o trabalho de equipes de resposta a incidentes, pois apaga rastros da invasão original.
- Conflito por Recursos: A disputa demonstra que o mercado de cibercrime está saturado, levando grupos a lutarem por infraestruturas já vulneráveis.
- Segurança Residual: Embora o sistema pareça estar sendo “limpo”, a vítima continua sob controle de um agente malicioso.
Consequências para a cibersegurança empresarial
Este fenômeno de hackers expulsando outros hackers complica drasticamente a análise de riscos para empresas de tecnologia. Para o administrador de sistemas, o sinal de que um malware foi removido de forma não autorizada pode gerar a falsa impressão de que a vulnerabilidade foi corrigida por um processo interno, quando, na verdade, o controle apenas mudou de mãos. O desaparecimento de arquivos maliciosos conhecidos do TeamPCP sem uma intervenção oficial da equipe de TI é agora um sinal de alerta máximo.
Para as organizações que utilizam ferramentas como GitHub Actions ou dependências de código aberto afetadas pelas ondas de ataques de 2026, a recomendação permanece o isolamento completo dos ambientes e a rotação total de credenciais. A presença de um segundo invasor “limpando” o terreno não reduz a gravidade da exposição original, mas adiciona uma camada de incerteza sobre qual grupo detém os dados sensíveis da empresa.
O cenário atual reflete uma mudança na economia do cibercrime. Grupos que antes operavam de forma isolada agora enfrentam uma disputa predatória por alvos de alto valor. Para profissionais de segurança, isso significa que o monitoramento deve ser focado não apenas na detecção de novas ameaças, mas na análise de comportamentos anômalos que sugiram uma troca de comando clandestina dentro da própria infraestrutura.
