Nizozemská policie (Politie) a Národní centrum kybernetické bezpečnosti (NCSC) oznámily rozebrání botnetu, který ve svém vrcholu zahrnoval nejméně 17 milionů infikovaných zařízení po celém světě – počítačů, tabletů, chytrých telefonů i IoT zařízení.

Infrastruktura botnetu stála z velké části v Nizozemsku: policie identifikovala přes 200 serverů, které zajišťovaly backend celé sítě. Po zajištění části serverů od hostingového poskytovatele, jenž měl tato zařízení ve správě, byl botnet odpojen. Lokální nizozemský zpravodajský server NL Times zprávu spojil se společností Asocks, která nabízela rezidentní proxy pod heslem legálního nástroje pro přístup ke geograficky omezeným webovým zdrojům.

Byznys model Asocks byl na první pohled legitimní: platforma prodávala firemní, rezidentní a mobilní proxy za měsíční předplatné v rozmezí přibližně 5 až 15 dolarů s objemovými slevami. Ve skutečnosti šlo o proxy provozované na kompromitovaných zařízeních skutečných uživatelů po celém světě, kteří o svém zapojení nevěděli. Výzkumníci ze Satori Threat Intelligence (HUMAN) tuto platformu již v dubnu 2024 spojili s kampaní PROXYLIB, která infikovala Android zařízení prostřednictvím softwaru LumiApps.

Rezidentní proxy jsou kontroverzní kategorie: mají legitimní využití – obcházení geografických blokací, testování webových aplikací, anonymizace přístupu – ale trh je zároveň živnou půdou pro kriminální aktéry, kteří si pronajímají přístup k infikovaným zařízením za účelem skrytí původu útoků, scraping, podvody s reklamou nebo distribuci malwaru. Hranice mezi „legálním" poskytovatelem proxy a nástrojem kyberkriminality tak bývá tenká a záleží zejména na tom, jak byla zařízení zapojena do sítě.