I ricercatori della Counter Threat Unit™ (CTU) hanno analizzato due gruppi di minaccia interconnessi, noti come Vect e TeamPCP. Alla fine di marzo 2026, i due gruppi hanno annunciato una partnership operativa formale con l'obiettivo di combinare le capacità di TeamPCP nella raccolta di credenziali e nel furto di dati con l'infrastruttura di distribuzione del ransomware di Vect, dando vita a una vasta campagna che comprende attacchi alla supply chain ed estorsioni ai danni di numerose organizzazioni.
L'evoluzione di Vect
L'operazione ransomware-as-a-service (RaaS) Vect è comparsa per la prima volta il 31 dicembre 2025, quando un account riconducibile al gruppo ha pubblicato su Rehub, un importante forum russofono dedicato al cybercrime, un annuncio per il reclutamento di affiliati. Vect ha rivendicato le sue prime vittime nel gennaio 2026 e, appena un mese dopo, ha lanciato Vect 2.0.
Il rilascio della nuova versione è coinciso con una nuova campagna di reclutamento di affiliati. Su X (precedentemente noto come Twitter), Vect ha dichiarato di aver reclutato 60 affiliati, di aver attaccato 154 organizzazioni e di aver ricevuto "decine di pagamenti andati a buon fine" nell'arco di due mesi.
Vect ha inoltre dimostrato una chiara propensione a collaborare con altri gruppi criminali informatici per ampliare le proprie operazioni. A marzo, il gruppo ha annunciato partnership con BreachForums e TeamPCP. Sebbene abbia dichiarato che ciascuno degli oltre 300.000 membri di BreachForums avrebbe ricevuto una chiave di affiliazione a Vect, è probabile che il numero di coloro che avrebbero effettivamente lanciato attacchi ransomware per conto del gruppo sia stato significativamente inferiore.
TeamPCP (noto anche con gli alias PCPcat, ShellForce e DeadCatx3) sembra essere composto da individui precedentemente affiliati a The Com, una confederazione globale di cybercriminali prevalentemente anglofoni.
Due delle vittime elencate nel sito di data leak di Vect sono state identificate come vittime della "campagna LiteLLM/Trivy (TeamPCP)".
Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/vect-and-teampcp-partner-for-ransomware-campaigns

