Red de proxies REM Proxy aprovecha malware SystemBC y 20.000 routers MikroTik para operaciones ilícitas
Introducción
El panorama de las amenazas en la infraestructura de red se ha visto sacudido recientemente por el hallazgo de REM Proxy, una red de proxies de alquiler sustentada por el malware SystemBC. Según un informe detallado de Black Lotus Labs, el equipo de inteligencia de amenazas de Lumen Technologies, REM Proxy ofrece acceso a aproximadamente el 80% de su botnet a clientes que buscan anonimizar actividades maliciosas. Este servicio criminal comercializa, además, una extensa red de 20.000 routers MikroTik comprometidos y una selección de proxies abiertos obtenidos de Internet, consolidándose como una de las infraestructuras proxy ilegítimas más significativas identificadas hasta la fecha.
Contexto del Incidente o Vulnerabilidad
REM Proxy surge en un contexto donde la demanda de servicios de proxy ilícitos ha crecido exponencialmente, impulsada por la sofisticación del cibercrimen y la proliferación de botnets especializadas. A diferencia de las redes de proxies residenciales legítimas, las infraestructuras como REM Proxy explotan dispositivos comprometidos —en este caso, mayoritariamente routers MikroTik vulnerables y endpoints infectados con SystemBC— para proporcionar una capa de anonimato a operadores de malware, estafadores, actores de ransomware e incluso grupos APT.
El malware SystemBC, identificado por primera vez en 2019, es conocido por establecer túneles SOCKS5 cifrados, que facilitan el tráfico malicioso y dificultan su detección. Su integración en REM Proxy, junto con el empleo masivo de routers MikroTik, representa una evolución en el modelo de negocio de los servicios de proxy criminales.
Detalles Técnicos
SystemBC (CVE-2021-40539, entre otras vulnerabilidades aprovechadas) actúa como la pieza central de control y gestión del botnet, permitiendo la creación de túneles cifrados para el reenvío de tráfico. Este malware despliega técnicas asociadas con los TTPs MITRE ATT&CK siguientes:
– Persistence (T1547) mediante registro de servicios persistentes en el sistema operativo.
– Command and Control (T1090) a través de proxies y túneles cifrados.
– Defense Evasion (T1562) para eludir soluciones EDR y cortafuegos.
Los routers MikroTik comprometidos son explotados habitualmente mediante la explotación de vulnerabilidades conocidas como CVE-2018-14847, que permite el acceso no autorizado a la configuración de los dispositivos. Mediante scripts automatizados, los atacantes incrustan reglas de reenvío de tráfico y backdoors que los integran en la infraestructura proxy.
Indicadores de compromiso (IoC) asociados identificados incluyen direcciones IP de routers MikroTik, dominios C2 relacionados con SystemBC, y firmas de tráfico SOCKS5 inusuales. Black Lotus Labs ha reportado que los operadores de REM Proxy emplean herramientas y frameworks como Metasploit para comprometer dispositivos y automatizar el despliegue de SystemBC.
Impacto y Riesgos
REM Proxy supone un riesgo crítico para la seguridad de redes empresariales y de proveedores de servicios. El uso del 80% de la botnet por parte de clientes externos implica que miles de dispositivos comprometidos pueden ser utilizados para lanzar ataques de phishing, campañas de spam, fraude de clics, scraping masivo, ataques de fuerza bruta y, especialmente, para facilitar movimientos laterales y exfiltración de datos en ataques dirigidos.
La presencia de 20.000 routers MikroTik en la red proxy incrementa la superficie de ataque y complica la atribución de actividades maliciosas. El uso de SystemBC como backend dificulta la detección, permitiendo a los atacantes mantener la persistencia durante largos periodos, evadiendo controles tradicionales de perímetro.
La utilización de esta infraestructura puede tener implicaciones legales graves, especialmente bajo normativas como el GDPR y la nueva directiva NIS2, que exigen una gestión proactiva de vulnerabilidades y la notificación de incidentes que involucren infraestructuras críticas.
Medidas de Mitigación y Recomendaciones
– Actualización inmediata del firmware de routers MikroTik a las versiones más recientes, cerrando brechas como CVE-2018-14847.
– Bloqueo y monitorización de tráfico SOCKS5 no autorizado y correlación de logs con IoCs publicados por Black Lotus Labs.
– Implementación de listas negras de IPs y dominios asociados a REM Proxy y SystemBC en firewalls y sistemas de prevención de intrusiones.
– Auditorías periódicas de dispositivos de red expuestos a Internet y segmentación de la infraestructura crítica.
– Refuerzo de políticas de autenticación y desactivación de servicios innecesarios en routers y endpoints.
Opinión de Expertos
Profesionales como Daniel Smith, especialista en respuesta a incidentes, advierten que “la profesionalización de servicios como REM Proxy marca un antes y un después en la facilidad con la que actores poco sofisticados pueden escalar campañas de ataque globales”. Desde el sector de los CSIRT, se recalca la importancia de un enfoque de inteligencia de amenazas proactivo y la colaboración intersectorial para el intercambio de indicadores y tácticas emergentes.
Implicaciones para Empresas y Usuarios
Las organizaciones que dependen de routers MikroTik o infraestructuras similares deben considerar la exposición que supone su uso sin las debidas medidas de hardening. La utilización de dispositivos comprometidos en redes proxy criminales puede resultar en bloqueos de IP, inclusión en listas negras y daños reputacionales, además de la potencial responsabilidad legal en caso de incidentes de seguridad originados desde su infraestructura.
Conclusiones
REM Proxy ejemplifica la convergencia entre malware avanzado, explotación de dispositivos IoT y el modelo de negocio criminal de proxies de alquiler. Su impacto, respaldado por la explotación de 20.000 routers MikroTik y la persistencia de SystemBC, subraya la necesidad de una estrategia integral de gestión de vulnerabilidades, monitorización avanzada y cooperación internacional para contener la amenaza. La creciente sofisticación y automatización de estos servicios obliga a los responsables de seguridad a redoblar esfuerzos en ciberhigiene y respuesta a incidentes.
(Fuente: feeds.feedburner.com)