物联网（IoT）僵尸网络由Doctor Web（一家俄罗斯防病毒厂商）的安全专家在今年早些时候发现，在最新的活动中开始将攻击网站作为活动目标。

Linux.ProxyM是一款Linux恶意软件，它被用来在受感染的设备上通过SOCKS代理服务器创建一个代理网络，用于转发恶意流量，掩盖其真实来源。

根据Doctor Web的说法，Linux.ProxyM最初于今年2月被发现，在5月下旬其活动达到顶峰，到7月份感染Linux.ProxyM的设备数量已经达到了1万台。

Linux.ProxyM能够运行于基于x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000和SPARC等不同体系结构的设备，这意味着它几乎可以感染任何Linux设备，包括路由器、机顶盒和其他类似的设备。

Doctor Web最初发现网络犯罪分子开始通过分发钓鱼电子邮件来传播Linux.ProxyM是在今年9月份，此类邮件每天的发送量都超过400封，通常以成人内容资源和金融服务为主题。

不过，这种活动只持续了很短的时间。在之后的活动中，网络犯罪分子开始使用物联网僵尸网络来分发这些钓鱼邮件，邮件的主题也进行了更改。

新的邮件以“DocuSign”的名义发送，这家公司提供电子签名技术和数字交易管理服务，以便于电子合同和签名文件的交换。

邮件包含了一个指向授权表单的伪造DocuSign网站的链接，网络犯罪分子利用这种模式来欺骗受害者输入其密码。然后，受害者将被重定向到真正的DocuSign授权页面。

在12月的活动中，网络犯罪分子开始使用Linux.ProxyM的代理服务器通过各种方法破解网站，包括SQL注入、XSS（跨站点脚本）和本地文件包含（LFI）。被攻击的网站包括游戏服务器、论坛和其他主题资源网站。

在12月7日，Doctor Web观察到Linux.ProxyM僵尸网络发起的攻击次数达到了2万次。而在大约一个月前，这些机器人每天发动的攻击次数接近4万次。