Malware SystemBC Ubah VPS Terinfeksi Menjadi Jalur Proxy Kriminal
Operator botnet SystemBC diketahui menargetkan Virtual Private Server (VPS) komersial yang rentan, memanfaatkan kerentanannya untuk membangun jaringan proxy besar. Menurut laporan Black Lotus Labs (Lumen Technologies), jaringan ini mempertahankan rata-rata 1.500 bot aktif setiap hari, menyediakan jalur lalu lintas berbahaya bagi berbagai aktivitas siber.
VPS Rentan Jadi Target Utama
Hampir 80% dari bot SystemBC berasal dari VPS komersial milik penyedia besar. Server yang terinfeksi rata-rata memiliki 20 kerentanan belum ditambal, dengan minimal satu berstatus kritis. Beberapa bahkan memiliki puluhan celah keamanan, termasuk satu server di Alabama yang tercatat memiliki 161 kerentanan.
Dengan memanfaatkan kelemahan tersebut, SystemBC mampu mempertahankan masa infeksi yang lama. Sekitar 40% server tetap terinfeksi lebih dari satu bulan, jauh lebih lama dibandingkan jaringan proxy berbasis perangkat rumah tangga (SOHO).
Cara Kerja dan Skala Serangan
SystemBC pertama kali muncul pada 2019 dan sejak itu digunakan oleh berbagai kelompok ancaman, termasuk geng ransomware, untuk menyebarkan payload. Malware ini memungkinkan penyerang menyamarkan lalu lintas jahat dan menyembunyikan aktivitas command-and-control (C2).
Black Lotus Labs menemukan lebih dari 80 server C2 yang menghubungkan klien ke server proxy terinfeksi. Jaringan ini juga menjadi fondasi layanan proxy kriminal lain, termasuk:
- REM Proxy – mengandalkan sekitar 80% bot SystemBC untuk layanan proxy berjenjang.
- Layanan web scraping Rusia berskala besar.
- VN5Socks/Shopsocks5 – jaringan proxy berbasis Vietnam.
Selain itu, operator SystemBC sendiri sering memanfaatkannya untuk melakukan brute-force kredensial WordPress, yang kemudian dijual ke pihak ketiga untuk menyuntikkan kode berbahaya ke situs web.
Volume Lalu Lintas Sangat Tinggi
Dalam simulasi, para peneliti menemukan satu alamat IP menghasilkan lebih dari 16 GB data proxy hanya dalam 24 jam, jauh lebih besar dibanding jaringan proxy umum. Satu alamat IP lain, 104.250.164[.]214, bahkan diketahui sebagai pusat rekrutmen korban sekaligus menjadi host untuk seluruh 180 sampel malware SystemBC.
Sulit Diberantas
Meski telah menjadi target operasi penegakan hukum, termasuk Operation Endgame, jaringan proxy SystemBC tetap bertahan. Hal ini menunjukkan ketahanan botnet dalam memanfaatkan VPS rentan sebagai infrastruktur stabil dengan kapasitas lalu lintas besar.
Black Lotus Labs merilis analisis teknis lengkap beserta indikator kompromi (IoC) untuk membantu organisasi mendeteksi infeksi dan mengganggu operasi botnet ini.
Sumber: Black Lotus Labs
