Un nuevo informe de Black Lotus Labs (Lumen Technologies) revela cómo la red proxy conocida como REM Proxy se apoya en el malware SystemBC para ofrecer proxies de gran ancho de banda y larga duración a clientes criminales. Según el análisis —respaldado por múltiples medios— la botnet mantiene un promedio cercano a 1.500 víctimas activas por día y opera con más de 80 servidores de comando y control (C2), ofreciendo aproximadamente el 80% de la capacidad de la botnet a los usuarios de REM Proxy.
¿Qué es REM Proxy y por qué importa?
REM Proxy se presenta como un servicio de proxies ilícitos que además comercializa pools de dispositivos (como 20.000 routers MikroTik) y recopila proxies abiertos disponibles en la web para vender acceso anónimo a clientes delictivos. Al combinar proxies residenciales gratuitos, routers vulnerados y, especialmente, VPS comprometidos, la red ofrece volúmenes de tráfico y estabilidad que resultan muy atractivos para actores que realizan fraudes, raspado masivo, envío de spam y soporte a campañas de ransomware.
SystemBC: el motor proxy detrás de la red
SystemBC es un malware escrito en C que transforma máquinas infectadas en proxies SOCKS5, reenviando el tráfico de los clientes a través de las víctimas antes de alcanzar el destino final. Detectado por primera vez en 2019, SystemBC puede infectar sistemas Windows y Linux, y su variante para Linux se ha relacionado con ataques a redes corporativas, servidores en la nube y dispositivos IoT. Al aprovechar VPS de proveedores comerciales, el malware ofrece proxies de mayor capacidad y mayor persistencia en comparación con las redes que dependen de dispositivos residenciales.
Alcance y características operativas de la botnet
Lumen reporta que la botnet SystemBC:
-
Opera con más de 80 servidores C2 y un promedio diario de ~1.500 víctimas.
-
Usa en gran medida VPS comprometidos (casi el 80% de las víctimas), lo que proporciona tráfico de alto volumen y estabilidad.
-
Mantiene periodos de infección largos: aproximadamente el 40% de los compromisos persisten más de 31 días.
-
Muchas máquinas víctimas quedan con múltiples CVE sin parches —en promedio 20 vulnerabilidades no remediadas por host—, incluso con al menos un CVE crítico. Un VPS identificado en Atlanta tenía más de 160 CVE sin parches.
Estos hallazgos subrayan que los atacantes priorizan servidores con configuraciones vulnerables para mantener proxies fiables y con gran capacidad.
Usos ilícitos y clientes de SystemBC
La infraestructura proxy se alquila o vende a múltiples clientes criminales. Entre los usos observados están: fuerza bruta de credenciales, raspado web a escala, ocultamiento de origen para campañas de phishing y soporte logístico para actores de ransomware. Además, se han identificado conexiones entre SystemBC y otros servicios proxy o pools con sede en distintos países (incluyendo servicios rusos y vietnamitas como VN5Socks / Shopsocks5).
Un caso concreto: los propios operadores de SystemBC emplean la botnet para forzar credenciales de WordPress y después venden esas credenciales en foros clandestinos, permitiendo la inyección de código y la posterior monetización por terceros.

Vector de reclutamiento y artefactos claves
Los investigadores de Lumen identificaron que la dirección IP 104.250.164[.]214 juega un rol central: hospeda artefactos y parece ser fuente de campañas de infección inicial. El proceso típico de infección implica desplegar un script de shell en la máquina comprometida que descarga e instala el binario de SystemBC. El énfasis en VPS con servicios corporativos y cloud convierte a estos servidores en objetivos lucrativos para la expansión de la botnet.
Riesgos para proveedores de VPS y clientes corporativos
El uso de VPS como proxy tiene impactos severos:
-
Riesgo reputacional y de red: servidores legítimos enviados a listas negras debido al tráfico malicioso.
-
Exposición de datos: servidores con credenciales o configuraciones por defecto pueden filtrar información sensible.
-
Costes operativos: tiempo de remediación, limpieza forense y posibles sanciones por abuso.
Lumen advierte que muchos VPS comprometidos muestran un historial de parches pendientes, lo que facilita la re-compromisión y la persistencia de la botnet.
Recomendaciones prácticas de mitigación
Para reducir el riesgo y cortar la cadena de suministro de proxies maliciosos, Lumen y otras fuentes proponen:
-
Parcheo inmediato y continuo de VPS y servidores expuestos.
-
Inventario y endurecimiento: deshabilitar servicios innecesarios, aplicar configuraciones seguras y cambiar credenciales por defecto.
-
Monitoreo y detección: configurar alertas para tráfico anómalo, conexiones a puertos inusuales y patrones de reenvío SOCKS5.
-
Listas de bloqueo y colaboración con ISPs/proveedores cloud: compartir IOCs y coordinar el bloqueo de hosts maliciosos.
-
Forense y remediación: cuando se detecte compromiso, aislar, capturar imágenes y realizar análisis para evitar la reinfección.
En fin…
SystemBC, alimentando servicios como REM Proxy, demuestra cómo los criminales han evolucionado desde redes residenciales a infraestructuras VPS de alto rendimiento para ofrecer proxies robustos y sostenibles. La combinación de volumen, persistencia y mala higiene de seguridad en servidores VPS crea una capacidad operativa de alto impacto para actores delictivos. Reducir este riesgo exige una respuesta coordinada: parcheo sistemático, monitorización proactiva y cooperación entre proveedores cloud, equipos de seguridad y fuerzas del orden.
Fuente: The Hacker News
