Nach Angaben der niederländischen Polizei und des NCSC umfasste das Botnetz mindestens 17 Millionen infizierte Geräte – darunter Computer, Tablets, Smartphones und IoT-Geräte. Die zugehörige Backend-Infrastruktur bestand aus mehr als 200 Servern in den Niederlanden.

Das NCSC erklärte, Ermittler hätten einen Teil dieser Server bei einem Hosting-Anbieter beschlagnahmt, der die Infrastruktur betrieben hatte. Dieser Anbieter habe das Botnetz daraufhin abgeschaltet, nachdem es für kriminelle Aktivitäten missbraucht worden sei.

Offiziell wurde der Name des Botnetzes nicht genannt. Laut dem Nachrichtenportal NL Times handelte es sich jedoch um den Dienst Asocks, ein Unternehmen, das Residential Proxies anbietet. Das Satori-Threat-Intelligence-Team von HUMAN hatte bereits in diesem Zeitraum eine als PROXYLIB bezeichnete Kampagne beschrieben, bei der Android-Geräte mit Proxyware von LumiApps und Asocks infiziert wurden.

Den Angaben auf der Website von Asocks zufolge bewirbt die Plattform Unternehmens-, Privat- und Mobilfunk-Proxys im monatlichen Abonnement zwischen 5 und 15 US-Dollar. Bei Großabnahmen von 10 bis 100 Proxys gewährt der Anbieter Rabatte von 5 bis 15 Prozent.

Residential Proxies haben durchaus legitime Einsatzzwecke und Vorteile für die Privatsphäre, etwa den Zugriff auf geografisch beschränkte Web-Ressourcen. Zugleich gilt das Umfeld als undurchsichtig: Viele Anbieter bedienen gezielt Kriminelle, die Zugang zu kompromittierten Geräten kaufen, um darüber schädlichen Datenverkehr zu leiten und Angriffe auszuführen.

„Geräte können Teil eines Botnetzes werden, wenn sie für Angreifer erreichbar sind", erklärte das NCSC. „Nachdem sie sich Zugriff verschafft haben, können Angreifer Schadsoftware installieren, mit der sich das Gerät aus der Ferne steuern lässt. Dadurch wird es Teil eines Netzwerks, das für cyberkriminelle Aktivitäten genutzt wird."

Zum Schutz vor Botnetz-Schadsoftware empfiehlt das NCSC, Betriebssysteme aktuell zu halten, Edge-Geräte wie Router im Blick zu behalten, starke Passwörter zu verwenden, wo möglich Zwei-Faktor-Authentifizierung zu aktivieren, Apps nur aus vertrauenswürdigen Quellen zu installieren, Standardpasswörter zu ändern und WLAN-Netze mit WPA2 oder WPA3 abzusichern.