A rede REM Proxy, operada pelo malware SystemBC, está no centro de um dos maiores esquemas de cibercrime da atualidade. Diariamente, cerca de 1.500 servidores de VPS comprometidos são transformados em uma poderosa botnet utilizada para fins ilícitos. De acordo com a equipe do Black Lotus Labs, da Lumen Technologies, a operação vai além de um simples serviço de proxy, oferecendo também o comércio de mais de 20.000 roteadores Mikrotik e proxies abertos, o que a torna uma das ferramentas mais versáteis e perigosas em atividade.
O SystemBC, um malware escrito em C, atua como espinha dorsal da operação. Sua principal função é transformar dispositivos infectados em proxies SOCKS5, permitindo conexões com servidores de comando e controle (C2) e o download de cargas adicionais. Detectado pela primeira vez em 2019, o malware afeta tanto sistemas Windows quanto Linux, com variantes específicas para infraestruturas corporativas e servidores em nuvem, segundo relatório da ANY.RUN.
Com mais de 80 servidores C2 ativos, a botnet tem se destacado pela capacidade de explorar servidores virtuais privados (VPS) de grandes provedores comerciais. Estima-se que 80% das vítimas diárias sejam VPS, sendo que cerca de 300 também integram a botnet GoBruteforcer. O nível de risco é elevado: muitos desses servidores apresentam, em média, 20 vulnerabilidades conhecidas (CVEs) sem correção, incluindo ao menos uma falha crítica.
A eficácia do SystemBC se deve, em grande parte, ao uso de servidores VPS comprometidos em vez de dispositivos residenciais. Essa estratégia garante maior volume de tráfego malicioso e persistência das infecções, permitindo que diversos grupos cibercriminosos utilizem a infraestrutura para diferentes tipos de ataques.
Entre os clientes da botnet SystemBC estão serviços de proxy na Rússia e no Vietnã, além de plataformas de web scraping de origem russa. A rede criminosa tem sido utilizada, principalmente, para ataques de força bruta contra sites WordPress, com o objetivo de roubar credenciais que depois são revendidas em fóruns clandestinos.
