El Departamento de Justicia de Estados Unidos y socios internacionales desmantelaron la botnet proxy 911 S5 y arrestaron al ciudadano chino YunHe Wang, de 35 años, su administrador, en Singapur.
"Trabajando con nuestros socios internacionales, el FBI llevó a cabo una operación cibernética conjunta y secuenciada para desmantelar la botnet 911 S5, probablemente la botnet más grande del mundo", dijo el director del FBI, Christopher Wray.
"Arrestamos a su administrador, Yunhe Wang, confiscamos infraestructura y activos, e impusimos sanciones contra Wang y sus co-conspiradores".
Ya en 2011, Wang y sus conspiradores introdujeron malware en los dispositivos de las víctimas utilizando múltiples aplicaciones VPN maliciosas que incluían puertas traseras de proxy. Las aplicaciones VPN que agregaron dispositivos comprometidos al servicio de proxy residencial 911 S5 incluyen MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN y ShineVPN.
Entre 2014 y julio de 2022, crearon una red de millones de computadoras residenciales con Windows en todo el mundo vinculadas a más de 19 millones de direcciones IP únicas, incluidas 613,841 direcciones IP en los Estados Unidos.
"Wang [..] administró y controló aproximadamente 150 servidores dedicados en todo el mundo, aproximadamente 76 de los cuales arrendó a proveedores de servicios en línea con sede en Estados Unidos", dijo el Departamento de Justicia.
"Usando los servidores dedicados, Wang implementó y administró aplicaciones, comandó y controló los dispositivos infectados, operó su servicio 911 S5 y proporcionó a los clientes de pago acceso a direcciones IP proxy asociadas con los dispositivos infectados".
Investigadores de la Universidad de Sherbrooke revelaron en junio de 2022 que los operadores del 911 S5 atrajeron a las víctimas potenciales ofreciendo servicios VPN gratuitos para instalar el malware proxy.
Un mes después, la botnet se cerró después de que los componentes críticos de la operación fueran supuestamente destruidos en una brecha de seguridad, pero resucitó como "CloudRouter" solo unos meses después.
El Departamento de Justicia también está entregando órdenes de incautación a registradores y entidades de registro para incautar los siguientes dominios utilizados por la red criminal.
Wang recaudó aproximadamente 99 millones de dólares vendiendo el acceso a las direcciones IP proxy a los ciberdelincuentes a cambio de una tarifa. Los delincuentes utilizaron las conexiones a Internet de los dispositivos comprometidos para una amplia gama de delitos, incluidos ataques cibernéticos, amenazas de bomba, explotación infantil, fraude a gran escala, acoso y violaciones de exportación.
Los clientes del 911 S5 también utilizaron el servicio de proxy residencial ilegítimo para presentar decenas de miles de solicitudes fraudulentas para programas relacionados con la Ley de Ayuda, Alivio y Seguridad Económica por Coronavirus (CARES, por sus siglas en inglés).
También lo usaron para presentar 560,000 reclamos fraudulentos de seguro de desempleo y más de 47,000 solicitudes de Préstamos por Desastre por Daños Económicos (EIDL, por sus siglas en inglés), lo que resultó en miles de millones de dólares robados de instituciones financieras, emisores de tarjetas de crédito y programas de préstamos federales.
El martes, el Departamento del Tesoro de EE.UU. también sancionó a Wang (el administrador), Jingping Liu (el lavador de dinero de la operación) y Yanni Zheng (que actuó como apoderado de Yunhe Wang), y a tres entidades (Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited y Lily Suites Company Limited) que eran propiedad o estaban controladas por Wang.
Según una acusación presentada el 24 de mayo, docenas de activos y propiedades de Wang ahora están sujetos a decomiso, "incluido un Ferrari F8 Spider S-A 2022, un BMW i8, un BMW X7 M50d, un Rolls Royce, más de una docena de cuentas bancarias nacionales e internacionales, más de dos docenas de billeteras de criptomonedas, varios relojes de pulsera de lujo, 21 propiedades residenciales o de inversión (en toda Tailandia, Singapur, los Emiratos Árabes Unidos, San Cristóbal y Nieves y los Estados Unidos) y 20 dominios".
Wang enfrenta una pena máxima de 65 años de prisión si es declarado culpable de todos los cargos, incluida la conspiración para cometer fraude informático, el fraude informático sustantivo, la conspiración para cometer fraude electrónico y la conspiración para cometer lavado de dinero.