El botnet SystemBC consolida su papel como infraestructura de proxy de alto rendimiento al comprometer servidores virtuales (VPS) y convertirlos en nodos de salida para actividades maliciosas. De acuerdo con Lumen Technologies, hay alrededor de 1.500 bots activos a diario, orquestados por más de 80 servidores de mando y control (C2). En casos documentados, un único IP llegó a cursar más de 16 GB de tráfico en 24 horas.
Arquitectura y escala: un “proxy-as-a-service” sin énfasis en el sigilo
Activo al menos desde 2019, SystemBC ha sido utilizado por múltiples actores, incluidos grupos de ransomware, tanto para entrega de cargas como para encaminamiento de tráfico. Su rasgo distintivo es la priorización del volumen sobre la ocultación: no rota ni ofusca IPs, y se apoya en una malla de 80+ C2 que conectan clientes con VPS comprometidos y alimentan servicios de proxy adyacentes. Esta táctica simplifica la operación y maximiza el rendimiento, aunque facilita el rastreo por telemetría de red.
Huella global y persistencia en proveedores comerciales
Los hosts comprometidos están distribuidos globalmente y, en su mayoría, presentan vulnerabilidades críticas o errores de configuración. Aproximadamente el 80% de la infraestructura se ejecuta en VPS de proveedores comerciales, lo que aporta alta disponibilidad y ancho de banda. La persistencia es notable: cerca del 40% de los sistemas permanecen infectados más de un mes, reflejo de parches aplazados, superficie de ataque expuesta y prácticas de hardening insuficientes.
Economía del proxy: REM Proxy, scraping y VN5Socks
SystemBC funciona como “capa base” para otros servicios. REM Proxy depende en torno a un 80% de bots SystemBC, modulando calidad y precio de IPs. También se observan consumos por un servicio de web scraping de gran escala en ruso y por la red vietnamita VN5Socks/Shopsocks5. Este encadenamiento complica la atribución y optimiza la monetización criminal.
Acceso inicial: fuerza bruta a WordPress y reventa de credenciales
Entre los TTPs más visibles figura el bruteforce de WordPress (ATT&CK: T1110). Las credenciales robadas se revenden a corredores de acceso que insertan malware, plantillas de phishing o SEO spam. Al canalizar los ataques por VPS de confianza, los operadores ganan “legitimidad” a ojos de filtros que ponderan la reputación de IP, mientras SystemBC sigue cumpliendo la función de proxy (ATT&CK: T1090).
Indicadores de actividad e infraestructura de distribución
La telemetría global destaca el IP 104.250.164[.]214, empleado para búsqueda de víctimas y distribución de loaders de SystemBC. En esa dirección se alojaron 180 muestras de malware asociadas a la campaña actual. Este indicador debe incorporarse a listas de bloqueo y a la supervisión en perímetro y endpoints.
Medidas de mitigación para VPS y WordPress
Gestión de vulnerabilidades: aplique parches de SO y aplicaciones con prioridad a CVE críticas; reduzca la superficie cerrando puertos no utilizados y aplique configuraciones de hardening base (CIS Benchmarks).
Control de acceso: limite SSH/RDP mediante allowlists, habilite MFA, use claves en lugar de contraseñas y desactive el acceso por contraseña en SSH; añada políticas geográficas y de comportamiento.
Blindaje de WordPress: WAF, límites de intentos de inicio de sesión, MFA para administradores, contraseñas robustas, actualización continua de núcleo/temas/plug-ins y revisión de logs ante patrones de fuerza bruta (wp-login.php, xmlrpc.php).
Detección de tráfico proxy: implemente NDR/EDR y analítica NetFlow/PCAP para identificar picos de salida, puertos atípicos o sesiones prolongadas tipo SOCKS5; mantenga bloqueos de C2 e IoCs conocidos, incluyendo 104.250.164[.]214.
Respuesta a incidentes: aísle el host, rote secretos, verifique persistencia, realice análisis forense y reprovisione antes de reingresar a producción. Mapee TTPs con MITRE ATT&CK (p.ej., T1110, T1090, T1190).
SystemBC ilustra cómo la explotación masiva de VPS vulnerables sustenta botnets de proxy de alta capacidad y larga vida útil. Reducir el riesgo exige disciplina de parches, MFA en servicios críticos, monitoreo de comportamiento de red y auditorías periódicas de exposición. Revise sus políticas hoy, cierre brechas prioritarias y establezca telemetría accionable para impedir que su infraestructura termine operando en la sombra de un botnet.