Utilisé pour divers actes cybercriminels, 911 S5 était selon le FBI " le plus grand botnet du monde jamais créé. " Démantelé dans le cadre d'une opération baptisée Tunnel RAT et présenté comme un service proxy résidentiel, 911 S5 était derrière plus de 19 millions d'adresses IP compromises dans plus de 190 pays.
Opérationnel à partir de mai 2014, 911 S5 avait été fermé par son administrateur en juillet 2022, mais il avait refait surface en octobre 2023 en renaissant sous les traits de Cloud Router.
D'après le département de la Justice des États-Unis, les cybercriminels utilisaient des adresses IP proxy achetées à 911 S5 afin de dissimuler leurs véritables adresses IP et commettre anonymement un large éventail de délits, parfois sordides comme l'échange de pédopornographie.
Une backdoor dans des applications VPN gratuites
" Depuis 2014, 911 S5 aurait permis à des cybercriminels de contourner les systèmes de détection des fraudes financières et de voler des milliards de dollars à des institutions financières, des émetteurs de cartes de crédit et des programmes de prêts fédéraux. "
Les utilisateurs et clients de 911 S5 auraient ciblé des programmes d'aide en cas de pandémie. Aux États-Unis et pendant la pandémie de Covid, environ 560 000 demandes frauduleuses d'assurance chômage provenaient d'adresses IP compromises et auraient entraîné une perte de plus de 5,9 milliards de dollars.
Le malware à l'origine de l'infection massive d'ordinateurs Windows de particuliers pour constituer le botnet était notamment propagé via des applications VPN gratuites, dont MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN et ShineVPN. Le FBI consacre une page pour identifier et supprimer des applications VPN contenant la backdoor pour 911 S5.
L'administrateur présumé risque 65 ans de prison
Ressortissant chinois, l'administrateur présumé de 911 S5 a été arrêté à Singapour. Âgé de 35 ans, Yunhe Wang est inculpé de plusieurs chefs d'accusation de fraude informatique et blanchiment d'argent. Il encourt une peine de prison de jusqu'à 65 ans.
" Wang a géré et contrôlé de l'ordre de 150 serveurs dédiés dans le monde entier, dont 76 qu'il a loués à des fournisseurs basés aux États-Unis. À l'aide de ces serveurs, il a déployé et géré des applications, commandé et contrôlé les appareils infectés, exploité son service 911 S5 et fourni à des clients payants un accès à des adresses IP proxy associées aux appareils infectés. "
Entre 2018 et juillet 2022, Yunhe Wang aurait reçu l'équivalent de 99 millions de dollars (cryptomonnaie et monnaie fiduciaire) du fruit de ses ventes d'adresses IP proxy détournées grâce à 911 S5.
