黑客悄悄接管了230台云服务器建了个隐秘邮件中转站——PCPJack攻击深度解析

2026-06-06 | 点滴安全 | 韦小宝·天地会

如果你的企业在AWS、Google Cloud或Azure上部署了业务服务器，你可能觉得它们很安全——毕竟有各大云厂商的安全防护体系加持。但2026年6月初曝光的一起安全事件告诉我们，事实可能并非如此。

网络安全公司Hunt.io最近披露了一个令人不安的发现：一个名为PCPJack的黑客组织，已经悄悄接管了横跨AWS、Google Cloud和Azure三大云平台的230台服务器，把它们变成了一张隐秘的SMTP邮件中转网络。这些被劫持的服务器分布在美国、欧洲和亚洲，被黑客用来发送大量垃圾邮件或钓鱼邮件，而服务器的主人对此一无所知。

更戏剧性的是，Hunt.io之所以能发现这个网络，是因为黑客在命令与控制（C2）服务器上留下了两个未设密码的开放目录——相当于把作案工具和行动日志直接摊在了桌上。

PCPJack是谁？

PCPJack这个名字，对关注网络安全的人来说并不陌生。2026年4月，安全公司SentinelOne首次发现了这个黑客组织，当时他们正在运营一个专门针对云服务的凭证窃取框架。

有趣的是，PCPJack在操作中会主动清除与另一个黑客组织TeamPCP相关的进程和痕迹。TeamPCP近期因软件供应链攻击而”声名远扬”。PCPJack清除TeamPCP痕迹的行为，说明网络犯罪世界也存在”帮派竞争”——不同的黑客组织之间在争夺相同的服务器资源。

根据Hunt.io的分析，PCPJack的攻击手法可以概括为三步：获取云服务器凭证、部署Sliver C2植入体、将服务器转化为SMTP代理节点。

攻击技术链——从入侵到变现

PCPJack的技术链路相当精巧，展现了现代网络犯罪的高度专业化。

第一阶段：入侵与植入。 黑客首先通过各种手段获取云服务器的访问凭证（可能是暴力破解、凭证填充或从暗网购买泄露的凭证）。获得初始访问权限后，他们会在服务器上部署Sliver——一个开源的命令与控制框架。植入体被伪装成隐藏文件，存放在”/var/tmp/.xs”路径下，并且设置了持久化机制（通过cron任务或systemd服务），确保即使服务器重启，后门仍然存在。

第二阶段：隧道与代理。 为了管理大量被入侵的服务器，PCPJack使用了Chisel隧道工具。Chisel是一个合法的开源HTTP隧道工具，但被黑客用于建立从C2服务器到被入侵服务器的加密隧道。每台被入侵的服务器会根据其Sliver UUID的MD5哈希值，被分配一个10000-14999范围内的SOCKS5代理端口。这种设计非常巧妙——不需要维护一个端口映射表，每个受感染服务器总是映射到相同的端口。

第三阶段：SMTP质量筛选。 这是整个攻击链中最有意思的部分。PCPJack并不是简单地利用所有被入侵的服务器，他们开发了一个SMTP质量检测机制，会自动测试每台服务器能否连接到smtp.gmail.com的587端口。只有通过这个测试的服务器才会被纳入邮件中转网络。那些不能发送邮件的服务器则被跳过，不浪费资源。

第四阶段：实时同步。 验证通过的代理列表会每五分钟通过安全复制协议（SCP）同步到一个下游服务器（38.242.204.245）。这个下游服务器会将这些代理节点提供给”客户”使用——这些”客户”可能是垃圾邮件发送者、钓鱼攻击者或其他网络犯罪分子。

C2服务器上的”意外收获”

Hunt.io的发现充满了戏剧性。黑客在C2服务器（213.136.80.73）上留下了两个没有设置任何身份验证的开放目录，任何人都可以直接访问。

这些目录里有什么？几乎是PCPJack的全部作案工具：源代码、编译好的二进制文件、部署状态日志、互联网扫描器、漏洞利用工具，以及一个活跃的Sliver配置文件。

更详细地说，研究人员发现了针对多种Linux CPU架构（AMD64、ARM64、x86）的Chisel隧道和代理二进制文件。还有一套部署脚本，可以自动加载Sliver C2客户端配置，筛选最近十分钟内签到过的活跃beacon（植入体）。脚本会以每批50个beacon的速度处理，上传后等待25分钟，执行命令后等待15分钟，以适应那些签到间隔较长的beacon。

研究人员还发现了一个Python脚本”chisel_verifier.py”，它作为后台守护进程运行，每60秒通过”ss -tlnp”命令枚举活跃的Chisel隧道端口，测试每个新端口的SMTP能力，并从活跃池中移除失败或掉线的隧道。

验证通过的代理会被自动丰富信息——通过ipify和ip-api等服务添加出口IP地址、国家和ASN信息。最终的代理列表每五分钟同步一次。

Hunt.io总结道：“230个节点只是我们能看到的结果。这种演进是反映了单个操作者在不断迭代，还是多个行为者在共享相同的基础设施，仅从恢复的文件中无法确定。”

云安全的警示

PCPJack事件给所有使用云服务的企业敲响了警钟。

首先，云服务器并非天然安全。即使你使用的是AWS、Azure或Google Cloud这样的顶级云平台，如果你的凭证管理不善，服务器同样可能被攻陷。

其次，要重视服务器凭证的安全。使用强密码、启用多因素认证、定期轮换访问密钥、最小权限原则——这些”老生常谈”的安全措施，恰恰是防御PCPJack这类攻击最有效的手段。

第三，监控异常网络活动。如果你的服务器突然产生了大量出站SMTP流量，或者出现了未知的cron任务和systemd服务，这可能是被入侵的信号。

第四，定期审计服务器配置。检查”/var/tmp/“等隐蔽目录中是否存在可疑文件，审查所有持久化机制。

最后，这起事件也提醒我们：黑客犯的低级错误（忘记给C2目录设密码）并不意味着他们的攻击不危险。恰恰相反，PCPJack展示的技术水平说明，网络犯罪已经高度专业化和产业化。保护自己的云基础设施，需要同样专业的防御手段。

参考来源：Hunt.io PCPJack研究报告、SentinelOne PCPJack凭证窃取研究（2026年4月）、The Hacker News