Nederländska myndigheter har slagit ut ett botnet som utan ägarnas vetskap rekryterade 17 miljoner enheter till kriminell infrastruktur. Insatsen riktades mot ASOCKS, en så kallad residential proxy-tjänst som dirigerade skadlig trafik genom kapade routrar, telefoner, surfplattor och kameror för att få den att se legitim ut. Myndigheterna beslagtog 200 servrar som användes för att driva botnetets infrastruktur, enligt rapportering från BleepingComputer och Ars Technica.
De drabbade enheterna var inte högvärdiga företagsmål. Det rörde sig om vanlig konsumenthårdvara med föråldrad firmware eller standardlösenord, tyst inrullad i ett nätverk som kriminella hyrde ut för att genomföra DDoS-angrepp och phishing-kampanjer. Ägarna hade ingen aning om att deras hemrouter ingick i det.
Varför residential proxies gör ASOCKS svårare att stoppa än ett vanligt botnet
De flesta botnät är möjliga att upptäcka eftersom de körs via datacenter med kända IP-intervall som säkerhetsteam kan blockera. Residential proxies fungerar annorlunda. Trafiken går ut genom en verklig internetanslutning i ett hem eller ett mindre företag, med en residential IP-adress som ser ut som en vanlig användare som besöker en webbplats eller loggar in på en tjänst. Nederländska myndigheter bekräftade i sitt uttalande att det var just detta som gjorde ASOCKS effektivt: “Residential proxies make malicious traffic appear legitimate, complicating efforts to detect and block malicious activity.”
Det är ingen ny observation, men ASOCKS industrialiserade detta i en skala som gjorde tjänsten kommersiellt gångbar för storskaliga operationer. En DDoS-attack som genomförs via 17 miljoner residential IP-adresser ser helt annorlunda ut för en försvarare än en attack som kommer från en hyrd serverfarm. Rate limiting, IP-baserade rykteblocklistor och geoblockering blir alla mindre effektiva när attacktrafiken distribueras över miljontals endpoints som ser legitima ut.
Phishingkampanjer som dirigeras genom residential proxies får samma fördel. E-postinfrastruktur som flaggas för spam kan bytas ut mot rena residential IP-adresser. Länkar som bäddas in i phishingmeddelanden kan lösas via adresser som ryktestjänster inte har någon anledning att misstro.
200 servrar nedtagna, men rekryteringsproblemet kvarstår
Att beslagta 200 servrar stör command-and-control och hindrar operatörerna från att styra den befintliga enhetspoolen. Det patchar däremot inte de 17 miljoner enheter som infekterades. Varje enhet är fortfarande sårbar för att rekryteras av en efterföljande tjänst om de underliggande svagheterna inte åtgärdas: opatchad firmware, standardinloggningar och hanteringsgränssnitt utan korrekt autentisering.
Botnätet komprometterade routrar, telefoner, surfplattor och kameror. Det är i praktiken en beskrivning av nästan varje uppkopplad enhet i ett europeiskt hem. Inga CVE har offentliggjorts i samband med ASOCKS-utredningen, vilket tyder på att den primära rekryteringsmetoden inte var en ny exploit, utan samma kombination av standardlösenord och föråldrad mjukvara som har drivit botnätstillväxt i över ett decennium.
Marknaden för residential proxies började inte med ASOCKS och den slutar inte där. Nedtagningar av tjänster som denna har historiskt lett till efterföljande operationer inom några veckor, ibland drivna av personer med koppling till tidigare verksamheter. Den här typen av brottsbekämpande insatser är viktiga, men att se nedtagningen av en enskild tjänst som en lösning snarare än ett avbrott vore för tidigt.
Kontrollera din hårdvara innan någon annan använder den
Om din organisation hanterar ett nätverk med konsumentroutrar eller IoT-enheter i utkanten av miljön, inklusive hemutrustning som används av distansarbetare, bör tre steg vidtas nu:
Installera alla tillgängliga firmwareuppdateringar på routrar, kameror och uppkopplade enheter. Tillverkare som ASUS, TP-Link och Netgear har alla släppt patchar under de senaste 12 månaderna för sårbarheter kopplade till remote code execution och credential bypass, brister som botnät aktivt utnyttjar.
Byt ut standardinloggningar. Varje enhet som levereras med användarnamnet “admin” och ett lösenord tryckt på baksidan av kartongen är ett standardmål för rekrytering. Ändra både användarnamn och lösenord vid installation.
Inaktivera fjärrhanteringsgränssnitt som inte aktivt behövs. De flesta hemmaroutrar levereras med fjärradministration inaktiverad som standard. Kontrollera att din router har samma konfiguration.
Organisationer som driver säkerhetsmedvetandeprogram bör lägga till ett avsnitt om hygien för hemmaroutrar för personal som arbetar på distans. Företagets endpoint protection omfattar inte routern som står mellan medarbetarens laptop och internet.
Referenser
- Dutch govt disrupts malware botnet with 17 million infected devices
- Botnet of more than 17 million devices dismantled
- Botnet of 17 Million Devices Dismantled in the Netherlands
This post is also available in:
English
Related News
Rysk underrättelsetjänst kartlägger svensk försvarsindustri för att kringgå sanktioner
Rysslands underrättelsetjänster driver en samordnad kampanj för att förvärva västerländsk teknik via skalbolag, cyberangrepp och rekryterade mellanhänder. Sveriges försvarsindustri är ett explicit utpekat mål. Christoffer…
juni 1, 2026 Falska Claude Code- och Gemini-installerare sprider en fileless infostealer
Utvecklare som söker på Google efter Anthropics Claude Code eller Googles Gemini CLI dirigeras till välgjorda falska installationssidor som ber dem klistra in ett enda…
maj 28, 2026 Daemon Tools-hackare använde giltiga certifikat för att dölja backdoor i en månad
Kinesisktalande angripare komprometterade Daemon Tools-installatörer och förblev oupptäckta i nästan en månad. Supply chain-angreppet började 8 april 2026 med trojanska versioner signerade med legitima digitala…
maj 7, 2026 
Bluekit gör sessionskapning till ett klick
maj 4, 2026