O botnet Socks5Systemz foi identificado como a base de operação do serviço ilegal de proxy PROXY.AM. Esse malware transforma sistemas comprometidos em nós de saída de proxy, permitindo que cibercriminosos ocultem a origem de seus ataques. Essas redes garantem anonimato para realizar atividades maliciosas, como fraudes e ataques cibernéticos, usando dispositivos infectados como intermediários.

Ativo desde 2013, o Socks5Systemz está associado a malwares como PrivateLoader, SmokeLoader e Amadey, frequentemente usados para expandir suas infecções. O serviço PROXY.AM, em operação desde 2016, oferece proxies “privados e anônimos”, com planos que custam entre US$ 126 e US$ 700 por mês. Em janeiro de 2024, o botnet chegou a comprometer uma média diária de 250 mil dispositivos, mas atualmente o número foi reduzido para cerca de 85 mil a 100 mil dispositivos ativos. Os países mais afetados incluem Índia, Indonésia, Brasil, México, Nigéria e Estados Unidos.

Pesquisadores destacam que falhas de configuração em infraestruturas na nuvem continuam sendo exploradas por criminosos para minerar criptomoedas, roubar dados e incorporar sistemas em botnets. Uma análise recente revelou 215 servidores expostos com credenciais sensíveis, afetando setores como TI, varejo, saúde e educação, principalmente em países como Estados Unidos, Índia, Brasil e Reino Unido.