一般網路使用者和企業並非惡意駭客唯一的受害者。有時，駭客自己也會被駭。

這正是發生在一場不尋常的駭客行動中的情況：一群身分不明的駭客鎖定了已被惡名昭彰的網路犯罪組織「TeamPCP」入侵的系統。根據網路安全公司 SentinelOne 的最新報告，一旦這些駭客闖入這些系統，他們會立即踢出 TeamPCP 的駭客並移除其工具。

接著，這些駭客利用其存取權限部署程式碼，這些程式碼旨在像自我傳播的蠕蟲一樣在不同的雲端基礎設施中複製，竊取各種類型的憑證，最後將竊取的數據傳回他們的基礎設施。

TeamPCP 是一個在過去幾週內頻繁登上新聞頭條的網路犯罪組織，這歸功於一系列歸因於該組織的高知名度駭客攻擊。這些攻擊包括入侵歐盟執委會（European Commission）的雲端基礎設施，以及針對廣泛使用的漏洞掃描工具 Trivvy 發動的大規模網路攻擊，這影響了所有依賴該工具的公司，包括 LiteLLM 和 AI 招聘新創公司 Mercor 等。

發現這場名為「PCPJack」的新駭客行動的 SentinelOne 高級研究員 Alex Delamotte 告訴 TechCrunch，目前尚不清楚幕後黑手是誰。Delamotte 表示，目前她的三種理論是：這些駭客要麼是不滿的前 TeamPCP 成員；要麼是競爭對手組織的成員；或者是第三方「選擇直接模仿 TeamPCP 早期行動的攻擊工具」，其中許多行動都針對雲端基礎設施。

Delamotte 表示：「PCPJack 針對的服務與 TeamPCP 在 12 月至 1 月間的行動非常相似，那是在據稱於 2 月至 3 月發生組織成員變動之前。」

Delamotte 還指出，這些駭客不僅針對被 TeamPCP 入侵的系統，他們還會掃描網路上暴露的服務，例如虛擬機雲端平台 Docker、運行 MongoDB 的資料庫等。但 SentinelOne 表示，該組織似乎主要集中在針對 TeamPCP。

僅限本週：買一送一，第二張通行證享 5 折優惠

您的下一輪融資。您的下一位員工。您的下一個突破機會。盡在 TechCrunch Disrupt 2026。屆時將有超過 10,000 名創始人、投資者和科技領袖齊聚一堂，參加為期三天、超過 250 場的實戰會議、強效的人脈引薦以及定義市場的創新展示。在 5 月 8 日前註冊，即可半價攜伴參加。

僅限本週：買一送一，第二張通行證享 5 折優惠

您的下一輪融資。您的下一位員工。您的下一個突破機會。盡在 TechCrunch Disrupt 2026。屆時將有超過 10,000 名創始人、投資者和科技領袖齊聚一堂，參加為期三天、超過 250 場的實戰會議、強效的人脈引薦以及定義市場的創新展示。在 5 月 8 日前註冊，即可半價攜伴參加。

根據報告，這些駭客自己的工具會透過將資訊傳回其基礎設施，來記錄成功驅逐 TeamPCP 的被駭目標數量。

PCPJack 駭客的目標似乎純粹是為了金錢，因為他們竊取憑證並專注於將其變現。駭客透過轉售憑證、作為所謂的「初始存取經紀人」（initial access brokers）出售被駭系統的存取權（即闖入系統後讓付費客戶進入被駭機器），或直接勒索受害者來達成此目的。

然而，根據 Delamotte 的說法，這些駭客並未嘗試在被駭系統上安裝挖掘加密貨幣的軟體，這可能是因為該策略需要更多時間才能獲得回報。

Delamotte 表示，作為某些攻擊的一部分，這些駭客正在使用暗示他們正在釣取密碼管理員憑證的網域，並使用虛假的技術支援網站。