Les États-Unis démantèlent le plus grand botnet du monde “911 S5” avec 19 millions d'appareils infectés

Le ministère de la Justice des États-Unis (DoJ) a annoncé mercredi qu’une opération internationale de maintien de l’ordre, autorisée par un tribunal, avait démantelé ce qui est probablement le plus grand botnet du monde — “911 S5”.

Ce botnet a été utilisé pour commettre des cyberattaques, des fraudes à grande échelle, de l’exploitation d’enfants, du harcèlement, des menaces de bombes et des violations d’exportation.

Dans le cadre de cette opération, Yunhe Wang, un ressortissant chinois de 35 ans et citoyen de Saint-Kitts-et-Nevis par investissement, a été arrêté à Singapour le 24 mai 2024, en tant qu’administrateur présumé du service de botnet malveillant, sur des accusations criminelles de déploiement de logiciels malveillants et de création et d’exploitation d’un service de proxy résidentiel connu sous le nom de “911 S5”.

Selon le DoJ, le botnet malveillant 911 S5 de Wang a commencé à fonctionner en mai 2014 jusqu’à ce qu’il soit mis hors ligne en juillet 2022, pour être ensuite rebaptisé CloudRouter.

“En travaillant avec nos partenaires internationaux, le FBI a mené une opération cybernétique conjointe et séquencée pour démanteler le botnet 911 S5 — probablement le plus grand botnet du monde jamais créé,” a déclaré le directeur du FBI, Christopher Wray.

“Nous avons arrêté son administrateur, Yunhe Wang, saisi des infrastructures et des actifs, et imposé des sanctions contre Wang et ses complices. Le botnet 911 S5 a infecté des ordinateurs dans près de 200 pays et a facilité toute une série de crimes informatiques, y compris des fraudes financières, des vols d’identité et de l’exploitation d’enfants. Cette opération démontre l’engagement du FBI à travailler main dans la main avec nos partenaires pour protéger les entreprises américaines et le peuple américain, et nous travaillerons sans relâche pour démasquer et arrêter les cybercriminels qui profitent de cette activité illégale.”

Le botnet malveillant 911 S5 a infecté plus de 19 millions d’adresses IP uniques, y compris 613,841 adresses IP situées aux États-Unis.

De 2014 à juillet 2022, Wang et ses complices auraient créé et diffusé des logiciels malveillants pour compromettre les systèmes informatiques domestiques et amasser un réseau de millions d’ordinateurs Windows résidentiels dans le monde entier.

Wang a généré des millions de dollars en offrant aux cybercriminels un accès à ces adresses IP infectées moyennant des frais, anonymisant ainsi leurs activités en ligne.

Selon les documents judiciaires, Wang aurait diffusé son logiciel malveillant via des programmes de réseau privé virtuel (VPN), tels que MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN et ShineVPN, ainsi que par le biais de logiciels piratés regroupés avec des logiciels malveillants.

“Wang [..] gérait et contrôlait environ 150 serveurs dédiés dans le monde entier, dont environ 76 qu’il louait auprès de fournisseurs de services en ligne basés aux États-Unis. En utilisant les serveurs dédiés, Wang déployait et gérait des applications, commandait et contrôlait les appareils infectés, exploitait son service 911 S5 et fournissait aux clients payants un accès à des adresses IP proxy associées aux appareils infectés,” a ajouté le ministère de la Justice.

Selon l’acte d’accusation, Wang a reçu environ 99 millions de dollars de ses ventes d’adresses IP proxy détournées via son opération 911 S5 entre 2018 et juillet 2022, soit en cryptomonnaie, soit en monnaie fiduciaire.

Il aurait utilisé les produits de cette activité illicite pour acheter des biens immobiliers aux États-Unis, à Saint-Kitts-et-Nevis, en Chine, à Singapour, en Thaïlande et aux Émirats arabes unis.

D’autres actifs et propriétés susceptibles d’être confisqués comprennent une Ferrari F8 Spider S-A de 2022, une BMW i8, une BMW X7 M50d, une Rolls Royce, ainsi que plusieurs montres de luxe.

L’opération contre le botnet a été un effort coordonné multi-agences dirigé par les forces de l’ordre aux États-Unis, à Singapour, en Thaïlande et en Allemagne, qui a impliqué la recherche de résidences, la saisie d’actifs d’une valeur d’environ 30 millions de dollars et l’identification de biens supplémentaires susceptibles d’être confisqués d’une valeur d’environ 30 millions de dollars.

Le 28 mai 2024, le Bureau de contrôle des avoirs étrangers (OFAC) du ministère des Finances a annoncé l’imposition de sanctions contre Wang et ses deux complices présumés, Jingping Liu et Yanni Zheng, pour leurs activités associées à 911 S5.

De plus, trois entités — Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited et Lily Suites Company Limited, pour être détenues ou contrôlées par Wang – ont également été désignées.

Wang est accusé de conspiration pour commettre une fraude informatique, de fraude informatique substantielle, de fraude par câble et de blanchiment d’argent.

S’il est reconnu coupable de toutes les accusations, il pourrait faire face à une peine maximale de 65 ans de prison. Le DoJ a déclaré qu’il poursuivait activement l’extradition de Wang de Singapour vers les États-Unis.