PCPJack sfrutta 230 server cloud con Sliver e Chisel per una rete proxy SMTP globale

L’abuso delle infrastrutture cloud continua a rappresentare una delle principali evoluzioni del cybercrime moderno. L’ultima analisi pubblicata da Hunt.io nel giugno 2026 documenta un’operazione particolarmente sofisticata denominata PCPJack, una rete composta da circa 230 server cloud distribuiti globalmente e utilizzati come infrastruttura proxy SMTP per campagne di phishing, spam e instradamento anonimo del traffico email. L’operazione si distingue per l’integrazione di due strumenti open source ormai diffusi anche nel panorama offensivo: il framework Sliver, impiegato per il comando e controllo, e Chisel, utilizzato per il tunneling avanzato e la costruzione di catene proxy resilienti. La combinazione di questi strumenti consente agli operatori di mantenere una rete altamente scalabile, capace di ruotare rapidamente indirizzi IP, aggirare blacklist e garantire continuità operativa anche in presenza di attività di contrasto da parte dei provider cloud o delle organizzazioni di sicurezza. Il caso PCPJack evidenzia come infrastrutture apparentemente legittime possano essere trasformate in piattaforme criminali distribuite sfruttando risorse cloud economiche, account compromessi e software open source adattati a scopi offensivi.

PCPJack trasforma il cloud pubblico in una piattaforma proxy SMTP distribuita

La caratteristica più significativa dell’operazione PCPJack è la capacità di convertire normali istanze cloud in nodi di una vasta rete proxy SMTP distribuita. Gli operatori selezionano provider cloud ampiamente utilizzati e distribuiscono server virtuali in differenti aree geografiche per ottenere una copertura globale e ridurre la probabilità che il traffico venga immediatamente associato a un’unica infrastruttura malevola. Ogni server esegue una configurazione Linux minimale e integra componenti standardizzati che consentono una rapida replica del modello operativo. L’obiettivo non è soltanto inviare email malevole, ma costruire una rete dinamica capace di instradare connessioni SMTP attraverso molteplici passaggi intermedi. Questa architettura rende difficile identificare l’origine reale del traffico e aumenta significativamente la resilienza della piattaforma. A differenza delle tradizionali botnet basate su dispositivi compromessi, PCPJack sfrutta infrastrutture professionali ospitate presso fornitori cloud legittimi, ottenendo maggiore affidabilità, banda disponibile e capacità di scalare rapidamente in funzione delle necessità operative.

Sliver fornisce comando e controllo ai 230 nodi della rete

Uno degli elementi centrali dell’operazione è l’utilizzo di Sliver, framework di comando e controllo (C2) open source sviluppato originariamente per attività di red teaming e simulazione offensiva. PCPJack impianta un beacon Sliver su ciascuna istanza cloud e lo configura come servizio persistente. Gli operatori compilano i payload con impostazioni personalizzate che includono meccanismi di sleep dinamico e jitter per rendere meno prevedibile il traffico generato. Le comunicazioni avvengono tramite protocolli crittografati come HTTP/2 e WebSocket, mimetizzandosi facilmente tra le normali attività di rete presenti nelle infrastrutture cloud. Attraverso queste sessioni C2 gli attaccanti possono aggiornare configurazioni, distribuire nuovi componenti, monitorare lo stato dei server e intervenire rapidamente in caso di rilevamento. La presenza di Sliver su tutti i nodi consente inoltre di effettuare pivoting tra sistemi differenti e di mantenere una visione centralizzata dell’intera infrastruttura. Questa capacità di gestione distribuita rappresenta uno dei fattori che rendono PCPJack particolarmente resiliente rispetto alle operazioni di contrasto tradizionali.

Chisel costruisce tunnel multipli e catene proxy difficili da tracciare

Accanto a Sliver opera Chisel, strumento open source specializzato nella creazione di tunnel TCP e HTTP attraverso connessioni crittografate. In PCPJack ogni server cloud esegue un’istanza Chisel configurata per esporre endpoint SOCKS5 accessibili dall’esterno. I client malevoli si collegano a questi endpoint e vengono instradati attraverso una serie di tunnel concatenati che rendono estremamente complessa la ricostruzione del percorso originale. Gli operatori sfruttano in particolare le funzionalità di reverse tunneling offerte da Chisel per esporre servizi locali verso Internet e costruire catene proxy multilivello. Il traffico SMTP può così attraversare più server prima di raggiungere il destinatario finale. La compressione integrata e la cifratura nativa contribuiscono ulteriormente a mascherare il contenuto delle comunicazioni. Dal punto di vista investigativo, questa configurazione aumenta notevolmente il lavoro necessario per individuare il punto di origine dell’attività malevola, poiché ogni nodo della catena appare come un semplice relay ospitato su infrastrutture cloud legittime.

Distribuzione geografica e scalabilità automatica dell’infrastruttura

Secondo gli analisti, i 230 server cloud risultano distribuiti tra almeno dieci diversi provider, con una concentrazione significativa in regioni dell’Asia-Pacifico e del Nord Europa. Questa scelta geografica consente agli operatori di ridurre la latenza verso specifici target e di adattare rapidamente la rete alle esigenze delle campagne in corso. Uno degli aspetti più sofisticati dell’operazione riguarda la capacità di sfruttare le API dei provider cloud per aggiungere o rimuovere istanze quasi in tempo reale. Quando un nodo viene identificato e bloccato, il traffico può essere immediatamente reindirizzato verso un’altra macchina attiva senza interrompere il servizio. Questa elasticità trasforma PCPJack in una vera infrastruttura cloud-native malevola. Gli operatori non devono più affidarsi esclusivamente a sistemi compromessi difficili da gestire, ma possono creare e distruggere risorse virtuali in pochi minuti mantenendo una capacità operativa costante. Tale approccio rappresenta una delle evoluzioni più interessanti osservate nel panorama delle infrastrutture criminali moderne.

La rete SMTP supporta phishing, spam e frodi BEC

L’obiettivo finale della rete è la gestione del traffico email malevolo. I nodi PCPJack accettano connessioni SMTP sulle porte standard 25 e 587 e le inoltrano verso server MX legittimi. Ogni relay applica meccanismi di limitazione del traffico per evitare blacklist immediate e preservare la reputazione degli indirizzi IP utilizzati. Le email percorrono generalmente almeno tre livelli di proxy prima di raggiungere la destinazione finale, rendendo più difficile risalire all’origine dell’invio. Questa architettura favorisce campagne di phishing, distribuzione di malware, operazioni di Business Email Compromise (BEC) e attività di spam su larga scala. La possibilità di ruotare rapidamente gli indirizzi IP consente inoltre agli operatori di mantenere elevati tassi di consegna anche quando alcuni nodi vengono identificati dai sistemi antispam. PCPJack monitora costantemente le prestazioni della rete e sposta il traffico verso server che conservano una reputazione migliore presso i provider di posta elettronica.

Persistenza, clonazione delle istanze e rotazione degli indirizzi IP

Uno degli elementi che contribuiscono alla longevità dell’infrastruttura è la strategia di persistenza implementata dagli operatori. Ogni server cloud utilizza script systemd che garantiscono il riavvio automatico di Sliver e Chisel dopo aggiornamenti, riavvii o eventi inattesi. Gli attaccanti mantengono inoltre snapshot completi delle istanze già configurate, permettendo la clonazione immediata di nuovi nodi. Quando un provider blocca un indirizzo IP o sospende una macchina sospetta, PCPJack può distribuire rapidamente una nuova istanza utilizzando account differenti. La rotazione frequente degli IP contribuisce a mantenere elevata la reputazione SMTP e a ridurre l’efficacia delle blacklist tradizionali. Questo approccio evidenzia un elevato livello di automazione e dimostra come il cloud computing stia diventando uno strumento sempre più utilizzato nelle operazioni criminali avanzate.

Tecniche di evasione e mimetizzazione del traffico

La capacità di evitare il rilevamento rappresenta uno degli aspetti più interessanti dell’operazione. Il traffico generato da Sliver e Chisel utilizza protocolli e porte comunemente osservati nelle normali attività cloud. I beacon Sliver possono apparire come strumenti di monitoraggio, aggiornamento software o servizi di gestione remota. Le connessioni Chisel sfruttano TLS e certificati facilmente ottenibili, rendendo più difficile distinguere il traffico malevolo da quello legittimo. PCPJack evita inoltre di concentrare grandi volumi di attività su un singolo nodo. Ogni server gestisce quantità relativamente contenute di traffico, riducendo la probabilità di superare le soglie di allarme implementate dai provider. Questa strategia di basso profilo permette alla rete di restare operativa per periodi prolungati e complica notevolmente le attività di monitoraggio e attribuzione.

PCPJack mostra la professionalizzazione delle infrastrutture criminali cloud

L’analisi di Hunt.io mette in evidenza un fenomeno sempre più diffuso: la trasformazione delle piattaforme cloud in infrastrutture offensive altamente professionali. PCPJack non appare come una semplice rete di relay SMTP, ma come un ecosistema distribuito progettato per offrire anonimato, resilienza e capacità di scalare rapidamente. L’integrazione tra Sliver e Chisel dimostra come strumenti nati per attività legittime di amministrazione, test e simulazione possano essere adattati a scopi criminali con relativa facilità. La capacità di gestire centinaia di server distribuiti, ruotare indirizzi IP, mantenere persistenti i componenti di comando e controllo e supportare grandi volumi di traffico email conferma un livello di maturità operativa elevato. PCPJack rappresenta quindi un esempio concreto di come il cybercrime stia adottando modelli tipici del cloud computing moderno, sfruttando elasticità, automazione e distribuzione geografica per costruire infrastrutture sempre più difficili da individuare e smantellare.