Das zerschlagene Botnet offenbart ein Muster, das sich in der organisierten Cyberkriminalität zunehmend durchsetzt: die Monetarisierung von infizierten Geräten über Proxy-Dienste. Der NCSC zufolge konnte das Netzwerk durch die Sicherung einer Teilmenge der Server bei einem niederländischen Hosting-Provider offline genommen werden. Der Provider kooperierte nach Bekanntwerden des Missbrauchs und unterstützte die Behörden.
Asocks, das Name des identifizierten Services, bewarb sich auf seiner Website als Anbieter von Corporate-, Residential- und Mobile-Proxys für monatliche Abonnements zwischen fünf und 15 Dollar. Massenrabatte für 10 bis 100 Proxies sollten zusätzliche Anreize schaffen. Während legitime Anwendungen wie der Zugriff auf geografisch beschränkte Inhalte existieren, nutzten Kriminelle das System gezielt zur Verschleierung ihrer Aktivitäten und zur Durchführung von Cyberattacken.
Bereits im April 2024 hatte das Threat-Intelligence-Team Satori der Firma HUMAN eine Kampagne namens PROXYLIB dokumentiert, die infizierte Android-Geräte mit Proxyware von LumiApps und Asocks zum Ziel hatte. Dieses Vorgehen zeigt die Professionalisierung der Botnet-Infrastruktur: Statt willkürliche Ziele zu attackieren, werden spezialisierte Mobile-Netzwerke systematisch aufgebaut.
Zum Schutz vor Botnet-Infektionen empfiehlt das NCSC Nutzern und Organisationen bewährte Maßnahmen: regelmäßige Betriebssystem-Updates, Verwaltung von Grenzgeräten wie Routern, starke Passwörter, Zwei-Faktor-Authentifizierung, Installation von Apps ausschließlich aus vertrauenswürdigen Quellen, Änderung Standard-Passwörter und die Sicherung von WLAN-Netzwerken mit WPA2 oder WPA3. Das BSI unterstreicht diese Empfehlungen und verweist auf regelmäßige Schwachstellenwarnung und Sicherheits-Updates als erste Verteidigungslinie. Deutsche Unternehmen sollten zudem ihre internen Netzwerke durch kontinuierliche Überwachung und Endpoint-Detection-and-Response-Systeme absichern.