Le département américain de la Justice et des partenaires internationaux ont démantelé le botnet proxy 911 S5 et arrêté YunHe Wang, ressortissant chinois de 35 ans, son administrateur.

Dès 2011, Wang et ses conspirateurs ont poussé des logiciels malveillants sur les appareils des victimes en utilisant plusieurs applications VPN malveillantes regroupant des portes dérobées proxy. Les applications VPN qui ont ajouté des appareils compromis au service proxy résidentiel 911 S5 incluent MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN et ShineVPN.

Entre 2014 et juillet 2022, ils ont créé un réseau de millions d’ordinateurs Windows résidentiels dans le monde liés à plus de 19 millions d’adresses IP uniques, dont 613 841 adresses IP aux États-Unis.

« Wang [..] a géré et contrôlé environ 150 serveurs dédiés dans le monde entier, dont environ 76 qu’il a loués à des fournisseurs de services en ligne basés aux États-Unis », a déclaré le ministère de la Justice.

« À l’aide des serveurs dédiés, Wang a déployé et géré des applications, commandé et contrôlé les appareils infectés, exploité son service 911 S5 et fourni aux clients payants un accès aux adresses IP proxy associées aux appareils infectés. »

Des chercheurs de l’Université de Sherbrooke ont révélé en juin 2022 que les opérateurs du 911 S5 attiraient des victimes potentielles en offrant des services VPN gratuits pour installer le logiciel malveillant proxy.

Un mois plus tard, le botnet a été fermé après que des composants critiques de l’opération auraient été détruits lors d’une faille de sécurité, mais il a été ressuscité sous le nom de « CloudRouter » quelques mois plus tard.

Le ministère de la Justice délivre maintenant des mandats de saisie aux bureaux d’enregistrement et aux entités de registre pour saisir les domaines suivants utilisés par le réseau criminel.

DOMAIN NAMETLDREGISTRARREGISTRY
911.re.re1API GmbHAFNIC
911.gg.gg1API GmbHIsland Networks
911s5.net.netGoDaddyVeriSign
911s5.org.orgGoDaddyPIR
911s5.com.comGoDaddyVeriSign
maskypn.ce.ccDynadotVeriSign
maskypn.org.orgGoDaddyPIR
dewvpn.com.comGoDaddyVeriSign
dewvpn.net.netGoDaddyVeriSign
dewvpn.org.orgGoDaddyPIR
dewvpn.ce.ccGoDaddyVeriSign
proxygate.net.netGoDaddyVeriSign
shinevpn.com.comGoDaddyVeriSign
shinevpn.org.orgGoDaddyPIR
paladinypn.com.comNamecheapVeriSign
paladinypn.org.orgNamecheapPIR
shieldvpn.org.orgCommuniGalPIR
cloudrouter.io.ioNamecheapIdentity Digital Inc
cloudrouter.pro.proDynadotIdentity Digital Inc
cloudrouting.net.netNamecheapVeriSign
reachfresh.com.netGoDaddyVeriSign
updatepanel.ce.ccNamecheapVeriSign
upgradeportal.org.orgNamecheapPIR

Wang a collecté environ 99 millions de dollars en vendant l’accès aux adresses IP mandatées à des cybercriminels moyennant des frais. Les criminels ont utilisé les connexions Internet des appareils compromis pour un large éventail de crimes, y compris les cyberattaques, les menaces à la bombe, l’exploitation des enfants, la fraude à grande échelle, le harcèlement et les violations des exportations.

Les clients du 911 S5 ont également utilisé le service proxy résidentiel illégitime pour soumettre des dizaines de milliers de demandes frauduleuses pour des programmes liés à la loi CARES (Coronavirus Aid, Relief, and Economic Security), 560 000 demandes frauduleuses d’assurance-chômage et plus de 47 000 demandes de prêt en cas de catastrophe économique (EIDL), entraînant des milliards de dollars volés aux institutions financières, aux émetteurs de cartes de crédit et aux programmes de prêts fédéraux.

Mardi, le département du Trésor américain a également sanctionné Wang (l’administrateur), Jingping Liu (le blanchisseur d’argent de l’opération) et Yanni Zheng (qui a agi en tant que mandataire de Yunhe Wang), ainsi que trois entités (Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited et Lily Suites Company Limited) qui appartenaient ou étaient contrôlées par Wang.

« En collaboration avec nos partenaires internationaux, le FBI a mené une cyberopération conjointe séquencée pour démanteler le botnet 911 S5—probablement le plus grand botnet au monde à ce jour », a déclaré le directeur du FBI, Christopher Wray.

« Nous avons arrêté son administrateur, Yunhe Wang, saisi des infrastructures et des actifs, et imposé des sanctions contre Wang et ses co-conspirateurs. »

Tarifs du service de procuration 911 S5

Selon un acte d’accusation descellé le 24 mai, des dizaines d’actifs et de propriétés de Wang sont désormais susceptibles d’être confisqués, « y compris une Ferrari F8 Spider SA 2022, une BMW i8, une BMW X7 M50d, une Rolls Royce, plus d’une douzaine de comptes bancaires nationaux et internationaux, plus de deux douzaines de portefeuilles de crypto-monnaie, plusieurs montres-bracelets de luxe, 21 propriétés résidentielles ou d’investissement (à travers la Thaïlande, Singapour, les Émirats Arabes Unis, Saint-Kitts-et-Nevis et les États-Unis) et 20 domaines. »

Wang encourt une peine maximale de 65 ans de prison s’il est reconnu coupable de tous les chefs d’accusation, y compris complot en vue de commettre une fraude informatique, fraude informatique substantielle, complot en vue de commettre une fraude électronique et complot en vue de commettre un blanchiment d’argent.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *