Правоохранительные органы ликвидировали сложный ботнет, использовавший скомпрометированные роутеры для создания сетей резидентных прокси, которые затем продавались через сайты Anyproxy.net и 5socks.net по подписке стоимостью от $9.95 до $110 в месяц. Эти сервисы действовавовали с 2004 года.
Согласно обвинительному заключению, операторы ботнета - трое граждан России (Алексей Викторович Чертков, Кирилл Владимирович Морозов, Александр Александрович Шишкин) и один гражданин Казахстана (Дмитрий Рубцов) - заработали более $46 млн, продавая доступ к более чем 7,000 прокси.
Сети Anyproxy и 5Socks базировались на ботнете, который заразил тысячи устаревших моделей роутеров по всему миру, эксплуатируя известные уязвимости в EoL-устройствах, не получающих обновления безопасности от производителей. Такие прокси были особенно ценны для маскировки вредоносного трафика, поскольку IP-адреса резидентных сетей часто воспринимаются системами безопасности как легитимные.
Малварь, предположительно вариант TheMoon, взаимодействовала с серверами управления и контроля (C2) через двусторонний handshake. Инфраструктура C2 обеспечивала регулярные проверки заражённых роутеров, открытие портов для работы прокси и управление маршрутизацией трафика.
Anyproxy и 5Socks размещались на серверах, управляемых российской хостинговой компанией JCS Fedora Communications. Домены Anyproxy.net и 5socks.net были зарегистрированы с использованием поддельных данных, что затрудняло атрибуцию. Сервисы рекламировались на киберпреступных форумах и в социальных сетях, продвигая возможности резидентных прокси. Клиенты могли приобретать доступ к конкретным IP-адресам и портам, которые, однако, имели слабую аутентификацию, что делало их уязвимыми для злоупотребления другими участниками.
Операция Moonlander была завершена 9 мая 2025 года под руководством Министерства юстиции США при поддержке киберподразделения ФБР в Оклахома-Сити, Национальной полиции Нидерландов, Прокуратуры Нидерландов и Королевской полиции Таиланда. Лаборатория Black Lotus Labs компании Lumen Technologies предоставила важный технический анализ, отслеживая узлы C2 и архитектуру ботнета.
ФБР получило ордера на изъятие Anyproxy.net и 5socks.net, заменив их содержимое уведомлением Министерства юстиции. Всем четырём фигурантам были предъявлены обвинения в сговоре и нанесении ущерба защищённым компьютерам. В обвинительном заключении описаны их роли в поиске уязвимых роутеров, внедрении малвари и управлении продажами прокси. Федералы использовали опыт предыдущих ликвидаций, таких как ботнет 911 S5 в 2024 году.