Botnet da 17 milioni di dispositivi smantellata in Olanda

La polizia olandese ha sequestrato oltre 200 server e disattivato una botnet di 17 milioni di dispositivi. I media locali collegano l'infrastruttura al servizi…

Contenuto

Botnet da 17 milioni di dispositivi smantellata in Olanda
Botnet da 17 milioni di dispositivi smantellata in Olanda

Il 29 maggio 2026, la polizia nazionale olandese e il NCSC-NL hanno sequestrato oltre 200 server presso un provider di hosting nei Paesi Bassi e disattivato una botnet composta da almeno 17 milioni di dispositivi infetti. L'operazione espone la vulnerabilità strutturale delle difese che affidano la propria efficacia alla reputazione degli indirizzi IP residenziali.

Punti chiave
  • La polizia olandese e il NCSC-NL hanno sequestrato oltre 200 server da un provider di hosting nei Paesi Bassi e disattivato una botnet di almeno 17 milioni di dispositivi infetti, composta da computer, tablet, smartphone, router e dispositivi IoT.
  • Le autorità non hanno reso pubblico il nome della botnet, una reticenza insolita per un'operazione di questa portata; i media locali hanno collegato l'infrastruttura al servizio di proxy residenziali Asocks, che pubblicizzava 7 milioni di indirizzi IP, 150 località e 100.000 clienti con abbonamenti da 5 a 15 dollari al mese.
  • Il NCSC-NL aveva pubblicato un post sul blog dedicato ai proxy residenziali come minaccia il giorno prima dell'annuncio dello smantellamento; il suggerimento iniziale era arrivato da un ricercatore di sicurezza informatica.
  • La ricerca precedente del team Satori di HUMAN Security aveva collegato Asocks a PROXYLIB, secondo il modello documentato da HUMAN Security che descrive l'arruolamento di dispositivi in reti proxy attraverso l'SDK LumiApps.
  • Il sito web di Asocks risultava ancora online dopo l'annuncio dello smantellamento; le fonti non specificano quanta infrastruttura del servizio operasse al di fuori dei 200 server sequestrati.

17 milioni di dispositivi e 200 server: la struttura dell'operazione

L'indagine ha rivelato che la botnet contava "almeno 17 milioni di dispositivi infetti", come ha dichiarato il NCSC, citato da BleepingComputer. I 200 server utilizzati per ospitare l'infrastruttura erano localizzati nei Paesi Bassi. La polizia ha successivamente sequestrato "diversi server botnet da un provider di hosting per scopi investigativi". Il provider ha preso la decisione di disattivare la botnet "perché veniva utilizzata per attività criminali".

Il dato di 17 milioni di endpoint supera le dimensioni tipiche delle botnet DDoS che periodicamente emergono nella cronaca cyber. Computer, tablet, smartphone, router e dispositivi IoT sono stati aggregati in un'infrastruttura unificata. Le fonti non specificano i vettori di compromissione utilizzati per questa botnet specifica.

Il sequestro di oltre 200 server da un singolo provider olandese indica una concentrazione geografica dell'infrastruttura di comando e controllo, non della distribuzione dei dispositivi infetti. Le fonti non documentano l'architettura di routing specifica tra i server sequestrati e gli indirizzi IP residenziali compromessi.

Il silenzio sul nome: perché le autorità non battezzano la botnet

Un elemento anomalo dell'operazione è la decisione delle autorità di non divulgare il nome della botnet. The Register ha evidenziato questa peculiarità come "insolita" per un'azione di questa portata. La reticenza non ha ricevuto spiegazioni ufficiali.

Sul fronte investigativo, la non divulgazione del nome potrebbe preservare capacità di intelligence su infrastrutture sopravvissute. Sul piano giudiziario, il nome potrebbe essere vincolato da procedure istruttorie o da accordi di cooperazione internazionale ancora in corso. Le fonti non confermano queste ipotesi.

I media locali, specificamente NL Times secondo le fonti citate da BleepingComputer, Help Net Security e Risky Biz, hanno collegato la botnet ad Asocks. Questo link non è stato confermato dalle autorità. Asocks pubblicizzava 7 milioni di indirizzi IP, 150 località, 100.000 clienti e abbonamenti da 5 a 15 dollari al mese. Il sito rimaneva accessibile dopo l'annuncio dello smantellamento, secondo Risky Biz.

La discrepanza tra i 17 milioni di dispositivi della botnet e i 7 milioni di indirizzi IP pubblicizzati da Asocks — circa 2,4 volte superiore — non ha ricevuto spiegazioni nelle fonti. Le cause di questa differenza non sono documentate.

PROXYLIB e LumiApps: il contesto storico dell'enrollment

La ricerca del team Satori di HUMAN Security, pubblicata nel 2024, fornisce un precedente tecnico per comprendere come dispositivi di consumo vengano arruolati in reti proxy. Secondo il modello documentato da HUMAN Security, PROXYLIB era integrata nell'SDK LumiApps e arruolava smartphone in reti proxy residenziali. HUMAN Security ha stabilito con "alta confidenza" che Asocks e PROXYLIB sono collegati, potenzialmente posseduti o gestiti dallo stesso attore di minaccia, attraverso l'analisi dell'archivio del dominio bproxy.one.

"Poiché i proxy residenziali utilizzano indirizzi IP reali e affidabili, l'uso dannoso di essi è molto più difficile da rilevare o bloccare. Molti sistemi di sicurezza e siti web si fidano del traffico proveniente da IP proxy residenziali più di quello da data center o VPN anonime." — NCSC-NL

Il NCSC-NL ha pubblicato un post sul blog dedicato ai proxy residenziali come minaccia il giorno prima dell'annuncio dello smantellamento. La tempistica suggerisce una strategia di comunicazione mirata a sensibilizzare sul contesto tecnologico dell'operazione.

I dettagli tecnici su PROXYLIB e LumiApps derivano da ricerca storica di HUMAN Security, non da verifica incrociata su questa operazione specifica. Le autorità olandesi non hanno confermato che questo meccanismo sia alla base della botnet di 17 milioni di dispositivi.

Cosa fare adesso

L'operazione olandese suggerisce implicazioni difensive per le organizzazioni che si affidano alla reputazione degli indirizzi IP per filtrare minacce. Il NCSC-NL ha evidenziato che il traffico da proxy residenziali gode di maggiore fiducia rispetto a quello da data center o VPN anonime, rendendo più complessa la rilevazione.

Le organizzazioni possono considerare che la distinzione tra traffico legittimo e traffico da dispositivi compromessi attraverso proxy residenziali richiede approcci di verifica che non dipendano esclusivamente dalla reputazione dell'IP. Il NCSC-NL ha notato che "l'abuso di proxy residenziali rende più difficile mappare minacce e attacchi digitali" e che "la resilienza delle organizzazioni può venire sotto pressione" all'aumentare della scala degli attacchi.

Per i singoli utenti, la fonte non specifica azioni concrete oltre alla consapevolezza generale che dispositivi di consumo possano essere arruolati in reti proxy senza consenso esplicito.

Chiusura

L'operazione del 29 maggio 2026 rappresenta uno dei più ampi smantellamenti di botnet documentati in Europa, ma lascia domande aperte sulla portata completa dell'infrastruttura colpita. L'assenza di un nome ufficiale per la botnet, la persistenza del sito Asocks e la mancata conferma del collegamento da parte delle autorità indicano che l'indagine potrebbe essere in una fase preliminare rispetto a un'azione giudiziaria completa.

Il caso illustra la tensione tra l'efficacia operativa dello smantellamento e la trasparenza informativa: sequestrare 200 server e liberare 17 milioni di dispositivi è un risultato misurabile; stabilire con certezza chi operasse l'infrastruttura, con quale meccanismo tecnico e quanta di essa sopravviva richiede tempi più lunghi. Le fonti non documentano arresti o accuse specifiche collegate a questa operazione.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews