Botnet 911 S5: EE.UU. impone sanciones a ciberdelincuentes de China y Tailandia

El Departamento del Tesoro de EE.UU. ha impuesto sanciones contra una red de ciberdelincuentes que incluye a tres ciudadanos chinos y tres empresas tailandesas. Estos sujetos están vinculados a un importante botnet que controlaba un servicio de proxy residencial llamado "911 S5".

Detección y actividad del 911 S5

En junio de 2022, investigadores de la Universidad de Sherbrooke en Canadá descubrieron que el 911 S5 atraía a las víctimas ofreciendo una VPN gratuita. La VPN se utilizaba para instalar malware que añadía las direcciones IP de las víctimas al botnet 911 S5. En ese momento, el botnet controlaba alrededor de 120,000 nodos proxy residenciales en todo el mundo, cada uno interactuando con varios servidores de comando y control (C2) ubicados en el extranjero o alojados en un servidor en la nube.

Suspensión y resurgimiento del botnet

Un mes después, el periodista de investigación Brian Krebs informó que el 911 S5 dejó de funcionar tras la destrucción de componentes clave de sus operaciones comerciales debido a una violación de seguridad. Sin embargo, el botnet resurgió meses después bajo el nombre de CloudRouter, según un informe de la empresa Spur Intelligence en febrero.

Interfaz de CloudRouter

Medidas de la OFAC y daños

La Oficina de Control de Activos Extranjeros del Departamento del Tesoro de EE.UU. (OFAC) declaró que el botnet 911 S5 era un servicio malicioso que comprometía las computadoras de las víctimas y permitía a los ciberdelincuentes enrutar sus conexiones a internet a través de las computadoras infectadas.

Los dispositivos comprometidos permitían a los delincuentes enmascarar sus acciones, trasladando la responsabilidad a las computadoras de las víctimas. El botnet comprometió alrededor de 19 millones de direcciones IP, lo que permitió a los ciberdelincuentes presentar decenas de miles de solicitudes fraudulentas a programas relacionados con la Ley CARES, causando pérdidas de miles de millones de dólares.

Tarifas de 911 S5

Sanciones contra los participantes

La OFAC ha impuesto sanciones contra las siguientes personas y empresas:

Yunhe Wang (administrador de 911 S5); Jinping Liu (blanqueador de dinero); Yanni Zheng (persona de confianza de Yunhe Wang); Spicy Code Company Limited; Tulip Biz Pattaya Group Company Limited; Lily Suites Company Limited. Según documentos de la OFAC, "las personas físicas y jurídicas enumeradas utilizaron el botnet para comprometer dispositivos personales, lo que permitió a los ciberdelincuentes obtener fraudulentamente asistencia económica destinada a los necesitados".

Como resultado de las sanciones, todas las operaciones que afecten los intereses de EE.UU. y la propiedad de las personas y entidades enumeradas están prohibidas. Cualquier transacción con estas personas y empresas también está sujeta a sanciones o acciones coercitivas.