Une opération internationale de police baptisée « Operation Moonlander » a permis de démanteler deux services de proxy majeurs — Anyproxy et 5Socks — accusés d’avoir exploité un botnet qui essaimait à partir d’ordinateurs et de routeurs obsolètes présentant des vulnérabilités connues. Les sites web des deux services ont été saisis par le FBI en collaboration avec la police nationale néerlandaise et le ministère américain de la Justice. Quatre individus — trois ressortissants russes et un kazakh — ont été inculpés pour avoir dirigé cette opération. Ce botnet aurait généré plus de 46 millions de dollars en fournissant illégalement des accès proxy à des cybercriminels, sous couvert de services légitimes.
Le botnet a infecté des milliers d’appareils dans le monde, permettant ainsi aux cybercriminels de dissimuler leur trafic Internet via des adresses IP résidentielles compromises, le rendant ainsi beaucoup plus difficile à détecter. Ces services « cachés » étaient largement utilisés pour des activités malveillantes telles que des attaques par force brute ou par déni de service (DDoS) ainsi que pour de la fraude publicitaire. Outre l’action des autorités, des chercheurs en cybersécurité de Black Lotus Labs et de Spur ont aussi largement contribué à retracer et confirmer l’infrastructure partagée entre Anyproxy et 5Socks. Leurs recherches ont révélé que le botnet comptait en moyenne environ 1 000 proxies actifs chaque semaine dans plus de 80 pays en exploitant principalement des routeurs en fin de vie.
