Dimecres passat, el Departament de Justícia dels Estats Units (DoJ) va informar que havia desmantellat el que va descriure com «probablement la xarxa de zombis (botnet) més gran del món», que consistia en un exèrcit de 19 milions de dispositius infectats que estava llogat a altres actors d’amenaça per cometre una àmplia gamma de delictes.

La xarxa de zombis, que s’estén arreu del món i abasta més de 190 països, va funcionar com a servidor intermediari residencial conegut com a 911 S5. Un xinès de 35 anys, YunHe Wang, va ser arrestat a Singapur el 24 de maig de 2024 per crear i actuar com a administrador principal de la plataforma il·legal des del 2014 fins al juliol del 2022.

Wang ha estat acusat de conspiració per cometre frau informàtic, frau informàtic real, conspiració per cometre frau electrònic i conspiració per cometre blanqueig de diners. Si se’l condemna per tots els càrrecs, Wang s’enfronta a una pena màxima de 65 anys de presó.

El Departament de Justícia va dir que la xarxa de zombis es va utilitzar per dur a terme atacs cibernètics, frau financer, robatori d’identitat, explotació infantil, assetjament, amenaces de bomba i violacions de les prohibicions d’exportació.

Val la pena assenyalar que Wang va ser identificat com el propietari del 911 S5 pel periodista de seguretat Brian Krebs el juliol de 2022, després de la qual cosa el servei es va tancar bruscament el 28 de juliol de 2022 citant una violació de dades dels seus components clau.

Tot i que va ressuscitar amb una marca diferent anomenada CloudRouter uns mesos més tard, segons Spur, el servei ha deixat d’operar des del cap de setmana passat, va dir a Krebs el cofundador de la companyia de ciberseguretat Riley Kilmer.

«Se suposa que Wang i altres van crear i difondre programari maliciós per comprometre i acumular una xarxa de milions d’ordinadors Windows residencials a tot el món», segons una imputació que encara està en curs.

«Aquests dispositius estaven associats amb més de 19 milions d’adreces IP úniques, incloses 613.841 adreces IP ubicades als Estats Units. Aleshores, Wang va generar milions de dòlars mitjançant l’oferiment als ciberdelinqüents de l’accés a aquestes adreces IP infectades per un preu acordat».

Els servidors intermediaris residencials (RESIP) són xarxes de dispositius d’usuari legítims que encaminen el trànsit en nom dels subscriptors de pagament. Normalment, implica que els proveïdors lloguen l’accés per redirigir el trànsit de la xarxa a través d’ordinadors, telèfons intel·ligents o encaminadors que pertanyen a usuaris reals.

L’objectiu principal d’utilitzar aquests serveis de proxyware és canalitzar el trànsit a través de les adreces IP d’aquests dispositius per anonimitzar l’origen de les sol·licituds malicioses.

Els documents judicials acusen Wang de propagar presumptament el programari maliciós a través de programes gratuïts de xarxa privada virtual (VPN), com ara MaskVPN i DewVPN, així com altres serveis de pagament per instal·lació que els agrupaven amb programari piratejat.

Es calcula que l’acusat va gestionar una infraestructura que inclou 150 servidors a tot el món, 76 dels quals van ser extrets de proveïdors de serveis en línia amb seu als Estats Units.

«Mitjançant l’ús dels servidors dedicats, Wang va desplegar i va gestionar aplicacions, va comandar i controlar els dispositius infectats, va operar el seu servei 911 S5 i va proporcionar als clients que pagaven accés a adreces IP intermediàries associades amb els dispositius infectats», va dir el DoJ.

També s’al·lega que el 911 S5 va permetre als actors criminals eludir els sistemes de detecció de fraus financers i robar milers de milions de dòlars d’institucions financeres, emissors de targetes de crèdit i programes de préstecs federals, incloses les ajudes per la pandèmia i el Programa de Préstecs per Desastres Econòmics (EIDL en anglès), mitjançant la presentació fraudulenta de reclamacions originades a partir d’adreces IP compromeses.

A més, el servei va permetre que els atacants que residien fora dels Estats Units compressin béns amb targetes de crèdit robades o ingressos derivats de delictes i els exportessin il·legalment fora del país tot contravenint les lleis d’exportació dels EUA.

Wang, per la seva banda, s’estima que va rebre aproximadament 99 milions de dòlars per la venda d’accés a les adreces IP segrestades, i que va utilitzar els diners mal aconseguits per comprar quatre cotxes de luxe, diversos rellotges de polsera cars i 21 propietats residencials o d’inversió als Estats Units, la Xina, Singapur, Tailàndia i els EAU.

Altres actius digitals propietat de Wang inclouen més d’una dotzena de comptes bancaris nacionals i internacionals i més de 24 carteres de criptomoneda, que es van utilitzar per tirar endavant les operacions. L’empresa d’anàlisi de cadena de blocs Chainalysis va revelar que les adreces associades a Wang contenen 136,4 milions de dòlars en criptomoneda.

El desmantellament, fruit d’un esforç coordinat entre els Estats Units, Singapur, Tailàndia i Alemanya, ha provocat la interrupció de 23 dominis i més de 70 servidors que constitueixen el nucli dur del 911 S5. L’operació policial també va suposar la confiscació d’actius valorats en aproximadament 30 milions de dòlars.

Simultàniament a l’acusació de Wang, l’Oficina de Control d’Actius Estrangers del Departament del Tresor (OFAC en anglès) va imposar sancions contra l’acusat juntament amb el seu còmplice Jingping Liu i l’apoderat Yanni Zheng per les seves activitats associades a la xarxa de zombis 911 S5 i al servidor intermediari residencial.

L’agència també va sancionar tres entitats amb seu a Tailàndia, com ara Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited i Lily Suites Company Limited, que es diu que són propietat o controlades per Wang, i va assenyalar que Spicy Code Company Limited es va utilitzar per comprar propietats immobiliàries al país.

«La conducta al·legada aquí sembla que s’hagués extret d’un guió: Una operació delictiva per vendre l’accés a milions d’ordinadors infectats amb programari maliciós a tot el món, que permet als delinqüents de tot el món robar milers de milions de dòlars, transmetre amenaces de bomba i intercanviar materials d’explotació infantil», va dir Matthew S. Axelrod, de l’Oficina d’Indústria i Seguretat (BIS) del Departament de Comerç dels Estats Units.

«El que no es mostra a les pel·lícules, però, és el treball minuciós que les forces de seguretat nacionals i internacionals, han de dur a terme estretament amb els socis del sector, per eliminar una operació tan descarada i aconseguir una detenció com aquesta».