Holenderska policja odłącza wtyczkę. Zlikwidowano botnet liczący 17 milionów urządzeń

Twój stary router, zapomniana kamera IP albo smartfon z przestarzałym Androidem mogły być częścią potężnej, globalnej broni.

Holenderskie służby właśnie wyłączyły jeden z największych w historii botnetów, liczący ponad 17 milionów zainfekowanych maszyn. Trop prowadzi bezpośrednio do rosyjskiej firmy, która zarabiała na ukrywaniu tożsamości cyberprzestępców.

Starlink Mini może dostać długo wyczekiwaną funkcję

Armia cichych zombie w naszych domach

Cała operacja była możliwa dzięki zgłoszeniu od niezależnego badacza bezpieczeństwa. Jak poinformowało holenderskie Narodowe Centrum Cyberbezpieczeństwa (NCSC), we współpracy z policją udało się zlokalizować i unieszkodliwić infrastrukturę sterującą tą gigantyczną siecią.

Co ciekawe, centrum dowodzenia składało się z zaledwie 200 serwerów ulokowanych na terytorium Holandii. Kiedy dostawca usług hostingowych dowiedział się o przestępczym charakterze ruchu, maszyny zostały natychmiast odłączone od internetu.

Rosyjski ślad i problem „domowych proxy”

Według doniesień serwisu NL Times, zlikwidowany botnet był ściśle powiązany z rosyjską firmą ASOCKS. Przedsiębiorstwo to zajmuje się sprzedażą dostępu do tak zwanych domowych serwerów proxy (residential proxies). W praktyce jest to usługa, która pozwala cyberprzestępcom przepuszczać swój ruch przez urządzenia zwykłych użytkowników na całym świecie. Dzięki temu zmasowane ataki DDoS, kampanie phishingowe czy zautomatyzowane pobieranie danych wyglądają dla systemów obronnych jak zwykły, lokalny ruch sieciowy, co utrudnia ich zablokowanie.

Wi-Fi 8 zmienia priorytety. Stabilność staje się ważniejsza niż prędkość

Historia firmy ASOCKS nie jest na tym polu nowa. Badacze z firmy Human już w 2024 roku udowodnili, że sieć ta wcieliła w swoje szeregi prawie 200 tysięcy urządzeń całkowicie bez wiedzy ich właścicieli. Wystarczyło zainstalować jedną z 28 popularnych aplikacji ze sklepu Google Play, by nieświadomie oddać kontrolę nad przepustowością swojego łącza rosyjskiej centrali.

Jak nie zostać darmowym serwerem dla hakerów?

Przejęcie kontroli nad 17 milionami sprzętów pokazuje smutną prawdę o stanie naszej cyfrowej higieny. Urządzenia stają się częścią botnetu najczęściej poprzez zignorowane luki w oprogramowaniu lub instalację pozornie użytecznych aplikacji, które w regulaminie przemycają zgodę na udostępnianie łącza.

Z perspektywy użytkownika zasada obrony jest prosta: jeśli producent twojego sprzętu przestał wydawać łatki bezpieczeństwa, urządzenie nadaje się do utylizacji, a nie do podłączenia do domowej sieci. Równie ważne jest weryfikowanie uprawnień aplikacji na smartfonach i usuwanie tych programów, z których już od dawna nie korzystamy.

📢 Démantèlement d'un botnet de 17 millions d'appareils lié au proxy russe ASOCKS
📝 ## 🗓️ Contexte

Source : Ars Technica (Dan Goodin), publié le 29 mai 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-05-31-demantelement-d-un-botnet-de-17-millions-d-appareils-lie-au-proxy-russe-asocks/
🌐 source : https://arstechnica.com/security/2026/05/botnet-of-more-than-17-million-devices-dismantled/
#ASOCKS #IOC #Cyberveille

Your phone or router may have been one of 17 million devices secretly rented out

https://www.martincid.com/technology-sv/asocks-botnet-17-million-devices-dismantled-2/

#Cybersecurity #ResidentialProxy #Asocks

Researchers from HUMAN’s Satori Threat Intelligence discovered a significant number of VPN apps on Android phones that, without users' knowledge, turned their devices into criminal proxies as part of a campaign named PROXYLIB. Cybercriminals and state actors use proxies to hide their activities, making it harder for them to be caught. They found 28 apps on Google Play that did this, including 17 free VPNs, which have since been removed. The apps used a shared code library, PROXYLIB, to enroll devices into the criminal network. HUMAN also found hundreds of apps in third-party repositories that appeared to use the LumiApps toolkit, a Software Development Kit (SDK) which can be used to load PROXYLIB. They also tied PROXYLIB to another platform that specializes in selling access to proxy nodes, called Asocks.

Residential proxies are a network of proxy servers sourced from real IP addresses provided by internet service providers (ISPs), helping users hide their actual IP addresses by routing their internet traffic through an intermediary server. The anonymity benefits aside, they are ripe for abuse by threat actors to not only obfuscate their origins but also to conduct a wide range of attacks. Many threat actors purchase access to these networks to facilitate their operations. Some of these networks can be created by malware operators tricking unsuspecting users into installing bogus apps that essentially corral the devices into a botnet that's then monetized for profit by selling the access to other customers.

The Android VPN apps discovered by HUMAN are designed to establish contact with a remote server, enroll the infected device to the network, and process any request from the proxy network. This operation has been codenamed PROXYLIB by the company. The 29 apps in question have since been removed by Google. The anonymity benefits of residential proxies allow threat actors to not only hide their origins but also to conduct a wide range of attacks, including advertising fraud, password spraying, and credential stuffing attacks.

https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-proxylib-and-lumiapps-transform-mobile-devices-into-proxy-nodes

#cybersecurity #android #malware #vpn #proxylib #google #googleplay #apps #lumiapps #sdk #proxy #asocks #network #server #passwordspraying #humansecurity #satori #threatintelligence