Pesquisadores de segurança identificaram uma operação cibernética denominada PCPJack que comprometeu mais de 230 servidores hospedados em ambientes da AWS, Google Cloud e Microsoft Azure. O objetivo dos invasores era transformar essas máquinas em uma rede oculta de relay SMTP, utilizada para o envio massivo de e-mails sem autorização dos provedores ou dos proprietários dos sistemas.
Segundo a investigação, os criminosos exploraram servidores expostos à internet e configurações inadequadas de segurança para obter acesso às instâncias em nuvem. Após a invasão, os sistemas comprometidos foram configurados para encaminhar mensagens eletrônicas por meio de canais aparentemente legítimos, dificultando a identificação da atividade maliciosa.
A utilização de servidores em grandes plataformas de nuvem oferece vantagens para os atacantes. Além de contar com infraestrutura confiável e alta disponibilidade, os serviços hospedados nesses ambientes tendem a possuir boa reputação junto a filtros antispam, aumentando as chances de entrega das mensagens enviadas.
Os pesquisadores apontam que a rede criada pelo grupo era capaz de operar de forma distribuída, utilizando diferentes regiões geográficas e múltiplos provedores de nuvem. Essa estratégia reduz o impacto de bloqueios isolados e dificulta ações de contenção por parte das equipes de segurança.
Embora a principal finalidade observada tenha sido a criação de uma infraestrutura clandestina de envio de e-mails, especialistas alertam que redes desse tipo podem ser utilizadas para campanhas de phishing, distribuição de malware, golpes financeiros, roubo de credenciais e outras atividades criminosas.
A operação também evidencia os riscos associados à má configuração de recursos em nuvem. Credenciais expostas, portas desnecessariamente abertas e falhas de monitoramento continuam sendo algumas das principais causas de comprometimento de ambientes corporativos hospedados em plataformas cloud.
Especialistas recomendam que organizações realizem auditorias frequentes em suas infraestruturas, adotem autenticação multifator, limitem acessos administrativos, monitorem atividades incomuns e implementem mecanismos de detecção de comportamento suspeito para reduzir a superfície de ataque.
O caso reforça uma tendência observada nos últimos anos: grupos cibercriminosos estão migrando cada vez mais para ambientes em nuvem, aproveitando a escalabilidade e os recursos dessas plataformas para construir infraestruturas resilientes e difíceis de rastrear.
