El Departamento de Justicia de Estados Unidos (DoJ) arrestó al presunto operador de 911 S5, un servicio VPN/anonimato en línea, como parte de la Operación Tunnel RAT. Este servicio, que operaba desde hace diez años, utilizaba lo que el director del FBI describió como "probablemente la red de bots más grande del mundo".
El arresto ocurrió junto con la confiscación del sitio web 911 S5 y su infraestructura, la cual convertía computadoras que ejecutaban varios productos de "VPN gratuitas" en retransmisores de tráfico de Internet, facilitando miles de millones de dólares en fraudes y delitos cibernéticos. Los servicios 911 S5 y Cloud Router ofrecían VPNs gratuitas como MaskVPN, DewVPN, PaladinVPN, Proxygate, Shield VPN y ShineVPN para atraer a los consumidores.
El 24 de mayo, autoridades de Singapur detuvieron al supuesto creador de 911 S5, un ciudadano chino de 35 años llamado YunHe Wang. El DoJ declaró que esta botnet permitió a los ciberdelincuentes evadir los sistemas de detección de fraude y robar miles de millones de dólares de instituciones financieras, emisores de tarjetas de crédito y programas de préstamos federales. Un ejemplo citado es el origen de 560,000 solicitudes fraudulentas de seguro de desempleo desde direcciones comprometidas, resultando en pérdidas de más de 5,900 millones de dólares.
Desde 2015 hasta julio de 2022, 911 S5 vendió acceso a cientos de miles de computadoras con Windows como "proxies" para enrutar tráfico de Internet, principalmente en Estados Unidos. La red se construyó ofreciendo servicios VPN gratuitos que, además de proporcionar anonimato, convertían las computadoras en retransmisores de tráfico para los clientes de 911 S5.
La eficiencia y bajos precios del 911 S5 lo hicieron popular en el cibercrimen, permitiendo a los delincuentes enrutar tráfico malicioso a través de computadoras geográficamente cercanas a sus víctimas. KrebsOnSecurity identificó a Wang como el propietario en julio de 2022, revelando que 911 S5 pagaba a usuarios para instalar su software, a menudo empaquetado con actualizaciones falsas de seguridad y software pirateado.
Diez días después del informe, 911 S5 cerró, alegando un hackeo, pero pronto resurgió como Cloud Router. El arresto de Wang se anunció menos de 24 horas después de que el Departamento del Tesoro de Estados Unidos lo sancionara junto a dos asociados y varias empresas implicadas en el lavado de casi 100 millones de dólares.
La página de inicio de Cloud Router ahora muestra un aviso de confiscación gubernamental. El DoJ, colaborando con autoridades de Singapur, Tailandia y Alemania, confiscó aproximadamente 30 millones de dólares en activos vinculados a Wang. Brett Leatherman, del FBI, indicó que se está trabajando en la extradición de Wang a Estados Unidos y animó a los usuarios a visitar una nueva página web del FBI para verificar si sus computadoras forman parte de la botnet 911 S5, que incluye más de 19 millones de computadoras en al menos 190 países.