Introduction
En mars 2026, 230 serveurs d'entreprise hébergés sur AWS, Google Cloud et Microsoft Azure ont été silencieusement convertis en relais d'e-mails clandestins. Derrière cette campagne, un acteur malveillant baptisé PCPJack, dont les outils révèlent une maîtrise avancée de l'infrastructure cloud professionnelle.
Un réseau SMTP construit méthodiquement, serveur par serveur
L'opération ne ressemble pas à une attaque de masse désorganisée. Après avoir pris pied sur des instances cloud exposées — en ciblant des services mal configurés comme Docker, Kubernetes, Redis ou MongoDB, ou en exploitant des vulnérabilités connues dans Next.js, des plugins WordPress et CentOS Web Panel — les attaquants déployaient une chaîne d'outils précise.
Deux composants clés en formaient l'épine dorsale. Sliver, un framework de command and control open source, servait de canal de prise de contrôle à distance. Chisel, un outil de tunneling TCP légitime, était détourné pour établir des tunnels SOCKS5 inverses. Chaque serveur compromis devenait ainsi un proxy transparent, capable de relayer du trafic e-mail sans alerter l'entreprise concernée.
L'ensemble reposait sur une logique de contrôle qualité : un démon testait chaque tunnel toutes les 60 secondes via une connexion SMTP simulée. Seuls les proxys fonctionnels étaient conservés, et la liste actualisée se synchronisait toutes les cinq minutes vers un serveur aval dédié.
La persistance comme outil de discrétion
Ce qui distingue PCPJack, c'est sa capacité à survivre durablement dans les environnements compromis. Sur les systèmes à hauts privilèges, des services systemd étaient installés ; sur les comptes moins élevés, des tâches cron prenaient le relais — le tout conçu pour résister aux redémarrages et nettoyages superficiels.
Les outils déployés assuraient également une collecte d'identifiants : clés SSH, tokens de bases de données, accès à des services cloud et financiers, exfiltrés vers une infrastructure de commande chiffrée. Un acteur qui ne se contente pas de louer votre infrastructure — il en vole aussi les clés.
Ce que cela révèle du risque cloud pour les entreprises
L'aspect qui doit retenir l'attention des DSI et RSSI est simple : les serveurs impliqués appartenaient à des entreprises réelles, en Europe, aux États-Unis et en Asie. Leurs instances cloud — payées par elles, associées à leur réputation IP — ont servi à des fins criminelles à leur insu.
Les conséquences concrètes sont multiples : réputation IP blacklistée par les filtres anti-spam, coûts cloud gonflés par un trafic parasite, et potentielles obligations légales si les serveurs détournés ont participé à des campagnes de phishing ciblant des tiers.
Les mesures à ne plus différer
La surface d'attaque exploitée ici n'est pas mystérieuse : des services cloud mal configurés, exposés sans contrôle rigoureux. Les bonnes pratiques sont connues, mais leur mise en œuvre reste trop souvent incomplète :
- Inventaire des services exposés : une API Docker ou un Redis accessible sans authentification depuis Internet est une porte ouverte.
- Surveillance des processus inattendus : un binaire de tunneling non référencé ou un service systemd inconnu doit déclencher une alerte immédiate.
- Contrôle des flux sortants : un serveur applicatif initiant des connexions SMTP vers l'extérieur est un signal d'anomalie à investiguer.
- Analyse de la facturation cloud : des pics de bande passante inexpliqués sont souvent les premiers indicateurs visibles d'un compromis.
PCPJack illustre une réalité que les équipes IT B2B doivent intégrer : vos serveurs cloud ont une valeur marchande pour les cybercriminels bien au-delà des données qu'ils hébergent. Relayer du trafic, tunneler des connexions anonymes, masquer l'origine d'une attaque — voilà ce que le marché souterrain valorise dans votre infrastructure. La prévention reste moins coûteuse que la remédiation.