Um esquema de cibercrime em larga escala vem chamando a atenção de especialistas em segurança digital. O malware SystemBC está por trás da rede REM Proxy, que compromete diariamente cerca de 1.500 servidores VPS e os transforma em uma poderosa botnet usada para atividades ilícitas.
De acordo com a equipe do Black Lotus Labs, da Lumen Technologies, essa operação vai muito além de um simples serviço de proxy: ela também comercializa mais de 20 mil roteadores Mikrotik comprometidos e proxies abertos, ampliando seu alcance e tornando-se uma ferramenta extremamente versátil para criminosos digitais.
Como o SystemBC funciona
Desenvolvido em C, o SystemBC atua como a espinha dorsal dessa infraestrutura criminosa. Ele converte máquinas infectadas em proxies SOCKS5, que se conectam a servidores de comando e controle (C2) para baixar cargas adicionais. Detectado pela primeira vez em 2019, o malware já evoluiu e possui versões específicas para Windows, Linux e ambientes corporativos em nuvem.
Segundo a plataforma ANY.RUN, a botnet conta com mais de 80 servidores C2 ativos, com destaque para sua eficiência em comprometer servidores de grandes provedores comerciais. Estima-se que 80% das vítimas sejam VPS, e parte delas (cerca de 300) também participem de outra botnet conhecida como GoBruteforcer.
O cenário é preocupante: muitas dessas máquinas comprometidas apresentam em média 20 vulnerabilidades conhecidas (CVEs) sem correção, incluindo pelo menos uma de nível crítico. Além disso, quase 40% das infecções permanecem ativas por mais de um mês, mostrando a dificuldade em mitigar o problema.
Por que os hackers preferem VPS?
A escolha por servidores VPS, em vez de dispositivos residenciais, não é aleatória. Esse modelo garante maior volume de tráfego, maior estabilidade e infecções de longa duração, oferecendo aos criminosos uma base sólida para diferentes tipos de ataques.
Entre os “clientes” que utilizam o SystemBC estão serviços de proxy baseados na Rússia e no Vietnã, além de uma empresa russa de web scraping. A botnet também tem sido usada em ataques de força bruta contra sites WordPress, com o objetivo de roubar credenciais e revendê-las em fóruns da dark web.
Uma ameaça persistente
O SystemBC prova ser uma operação de cibercrime sofisticada, capaz de se sustentar ao longo do tempo e escalar rapidamente. Para empresas que utilizam VPS, a lição é clara: manter sistemas atualizados, aplicar correções de segurança em tempo hábil e monitorar continuamente a infraestrutura são medidas fundamentais para evitar cair na rede dessa botnet.
