Il mondo della sicurezza informatica è costantemente minacciato da nuove forme di attacco e il botnet Socks5Systemz ne è un esempio lampante. Analizzato di recente da Bitsight, questo botnet viene utilizzato per alimentare un servizio proxy illegale noto come PROXY.AM. Questo servizio offre un livello di anonimato aggiuntivo ai criminali informatici, consentendo loro di nascondere le origini delle loro attività malevole. Socks5Systemz è stato originariamente promosso nel sottobosco del cybercrime già nel marzo 2013 e da allora ha evoluto la sua infrastruttura per resistere alle operazioni di contrasto.

Il botnet, che ha raggiunto una dimensione media di circa 250.000 macchine compromesse nel gennaio 2024, è ora stimato tra 85.000 e 100.000 dispositivi. Queste macchine sono trasformate in nodi di uscita proxy, pubblicizzati per altri attori malintenzionati che cercano di oscurare le loro tracce. L'infrastruttura di Socks5Systemz è cambiata nel tempo, soprattutto dopo una perdita di controllo da parte dell'operatore nel dicembre 2023, che ha portato alla ricostruzione del botnet con una nuova infrastruttura di comando e controllo.

Il malware coinvolge prevalentemente sistemi in paesi come India, Indonesia, Russia e Stati Uniti, e viene distribuito tramite loader come Privateloader e SmokeLoader. L'utilizzo di questi loader permette di sostituire le vecchie infezioni con nuovi payload, mantenendo il botnet attivo e funzionante.

PROXY.AM si pubblicizza come un fornitore di server proxy "elite e anonimi", con pacchetti che vanno dai 126 dollari al mese per il pacchetto base fino a 700 dollari al mese per quello VIP. Questa attività si inserisce in un contesto più ampio di attacchi informatici che sfruttano configurazioni errate di server Docker e altre vulnerabilità per diffondere malware e condurre attacchi DDoS.

Inoltre, una recente analisi ha evidenziato come molte istanze in cloud siano esposte a causa di credenziali sensibili non protette, offrendo potenziali punti di accesso non autorizzato per i cybercriminali. Queste falle sottolineano l'importanza di una gestione e sorveglianza sistematica per prevenire fughe di dati e attacchi su larga scala.