Você levantou uma hipótese bem interessante. Acredito que o cara tenha um objetivo principal, relacionado à acesso de contas e computadores de terceiros. Além disso, deve ter também um objetivo secundário de tentar aproveitar a conexão de internet de uma VM para ter uma base para realizar outros golpes.
Respondendo a "parece que ele tem algum exploit de rede conhec..." dentro da publicação [É Golpe?] Recebi um e-mail suspeito pedindo acesso ao meu computador para acessar o Upwork
2