全球 SystemBC 僵尸网络活跃，已感染超 1 万台设备

知名老牌恶意软件家族 SystemBC 的相关攻击活动，已波及全球超 1 万个受感染 IP 地址，其中包括敏感政府基础设施关联设备。

据 Silent Push 发布的最新研究显示，该发现进一步印证了业界担忧 ——SystemBC 持续被用作入侵行动的早期渗透工具，且其出现往往预示着后续勒索软件的投放。

SystemBC（亦被称为Coroxy或DroxiDat）于 2019 年首次被公开披露，是一款多平台代理恶意软件，可将受感染设备改造为 SOCKS5 代理中继。这些代理中继可让威胁行为者通过受害者设备转发恶意流量，既隐藏自身基础设施，又能持续维持对内网的访问权限。

观测显示，部分 SystemBC 感染事件中还会附带投放其他恶意软件，进一步扩大攻击影响范围。Silent Push 分析师表示，因多次观测到 SystemBC 在勒索软件攻击事件前出现，团队于 2025 年开始对其活动进行系统化追踪。

为了更有效地监测，研究团队开发了专门的SystemBC追踪指纹，得以大规模识别受感染主机及其背后的支持设施。通过这种方法，他们发现了超过1万个独特的受感染IP地址，相关活动痕迹最早可追溯到2019年。

全球传播态势与持续威胁
受感染设备呈全球分布态势，美国感染数量最多，德国、法国、新加坡、印度紧随其后。多数受感染设备部署于数据中心环境而非家用网络，这也是其感染状态往往能持续数周甚至数月的原因之一。

最值得关注的发现之一是一款此前未被记录的 SystemBC 变种，该变种基于 Perl 语言开发。该变种专门针对 Linux 系统，分析当时在 62 款杀毒引擎中均未被检出。

研究还显示，SystemBC 的命令与控制（C2）基础设施常依托抗滥用高防托管服务商搭建，包括 BTHoster 及自治系统 213790（又称 BTCloud）关联的托管环境。仅在一个托管集群中，分析师就识别出超 10340 个受害者 IP 地址，平均感染时长 38 天，部分甚至超过 100 天。

该数据集包含布基纳法索、越南两国政府官方网站的托管 IP 地址，且这些 IP 已遭攻陷。这些政府关联设备不仅是攻击受害者，还被纳入代理网络供攻击者使用，大幅提升了此次攻击的潜在危害。

为防范同类威胁，Silent Push 建议开展主动监测，并警示：SystemBC 的活动往往出现在入侵链路早期，且通常先于勒索软件投放发生。