O Departamento de Justiça dos EUA divulgou na quarta-feira que desmontou o que descreveu como “provavelmente a maior botnet do mundo”, que consistia em um exército de 19 milhões de dispositivos infectados alugados para outros atores de ameaças para cometer uma ampla variedade de crimes.

A botnet, que tem uma presença global em mais de 190 países, funcionava como um serviço de proxy residencial conhecido como 911 S5. Um chinês de 35 anos, YunHe Wang, foi preso em Cingapura em 24 de maio de 2024, por criar e atuar como administrador principal da plataforma ilegal de 2014 a julho de 2022.

Wang foi acusado de conspiração para cometer fraude de computador, fraude de computador, conspiração para cometer fraude eletrônico e conspiração para cometer lavagem de dinheiro. Se condenado em todas as acusações, Wang enfrenta uma pena máxima de 65 anos de prisão.

O Departamento de Justiça disse que a botnet foi usada para realizar ataques cibernéticos, fraude financeira, roubo de identidade, exploração de crianças, assédio, ameaças de bomba e violações de exportação.

Vale ressaltar que Wang foi identificado como o proprietário do 911 S5 pelo jornalista de segurança Brian Krebs em julho de 2022, após o que o serviço foi abruptamente desativado em 28 de julho de 2022, citando uma violação de dados de seus principais componentes.

Embora tenha sido ressuscitado sob um nome de marca diferente chamado CloudRouter alguns meses depois, de acordo com a Spur, o serviço cessou as operações no último fim de semana, segundo o co-fundador da empresa de cibersegurança, Riley Kilmer, informou Krebs.

“De acordo com a acusação não selada, Wang e outros são acusados de criar e disseminar malware para comprometer e acumular uma rede de milhões de computadores residenciais com Windows em todo o mundo,”.

“Esses dispositivos estavam associados a mais de 19 milhões de endereços IP únicos, incluindo 613.841 endereços IP localizados nos Estados Unidos. Wang então gerou milhões de dólares oferecendo a cibercriminosos acesso a esses endereços IP infectados mediante o pagamento de uma taxa”.

Procuradores estimaram que Wang gerenciava uma infraestrutura que abrangia 150 servidores em todo o mundo, 76 dos quais foram retirados de provedores de serviços online dos EUA.

“Usando os servidores dedicados, Wang implantava e gerenciava aplicativos, comandava e controlava os dispositivos infectados, operava seu serviço 911 S5 e fornecia aos clientes pagantes acesso aos endereços IP proxy associados aos dispositivos infectados,” disse o DoJ.

Também é alegado que o 911 S5 permitiu que atores criminosos burlassem os sistemas de detecção de fraudes financeiras e roubassem bilhões de dólares de instituições financeiras, emissores de cartões de crédito e programas federais de empréstimos, incluindo ajuda pandêmica e o programa de Empréstimo por Desastre Econômico (EIDL), por meio de reivindicações fraudulentas originadas de endereços IP comprometidos.

Além disso, o serviço permitiu que atacantes residentes fora dos EUA comprassem bens com cartões de crédito roubados ou lucros criminosamente adquiridos e os exportassem ilegalmente para fora do país em violação das leis de exportação dos EUA.

Calcula-se que Wang, por sua vez, tenha recebido aproximadamente US$ 99 milhões vendendo acesso aos endereços IP proxy sequestrados, usando o dinheiro ilícito para comprar quatro carros de luxo, diversos relógios caros e 21 propriedades residenciais ou de investimento nos EUA, China, Cingapura, Tailândia e Emirados Árabes Unidos.

Outros ativos digitais possuídos por Wang incluem mais de uma dúzia de contas bancárias nacionais e internacionais e mais de 24 carteiras de criptomoeda, que foram usadas para realizar o esquema. A empresa de análise blockchain Chainalysis revelou que os endereços associados a Wang detêm $136,4 milhões em criptomoedas.

A operação, resultado de um esforço coordenado entre EUA, Cingapura, Tailândia e Alemanha, resultou na interrupção de 23 domínios e mais de 70 servidores que constituem a base do 911 S5. O esforço também resultou na apreensão de ativos avaliados em aproximadamente US$ 30 milhões.

Paralelamente à acusação de Wang, o Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro impôs sanções contra o réu, seu co-conspirador Jingping Liu e a procuradora Yanni Zheng por suas atividades associadas à botnet 911 S5 e ao serviço de proxy residencial.

A agência também sancionou três entidades com sede na Tailândia, a Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited e Lily Suites Company Limited, que se dizem ser de propriedade ou controladas por Wang, observando que a Spicy Code Company Limited foi usada para comprar propriedades imobiliárias no país.

“O comportamento aqui alegado parece um roteiro de filme: um esquema para vender acesso a milhões de computadores infectados por malware em todo o mundo, permitindo que criminosos em todo o mundo roubassem bilhões de dólares, transmitissem ameaças de bomba e trocassem materiais de exploração infantil,” disse Matthew S. Axelrod do Bureau de Indústria e Segurança do Departamento de Comércio dos EUA.

“Mas o que eles não mostram nos filmes é o trabalho minucioso necessário pela aplicação da lei doméstica e internacional, trabalhando em estreita colaboração com parceiros do setor, para derrubar um esquema tão audacioso e realizar uma prisão como esta”.