Author: Securonix

2024年5月29日，美国司法部发布通告，声称其执法活动摧毁了”史上最大的僵尸网络” 911 S5，查封了相关域名，并且逮捕了其管理员YunHe Wang。Wang及其同伙通过创建并分发包含恶意代码的免费VPN程序感染用户，并且在名为911 S5的住宅代理服务中出售对被感染设备构成的代理网络的访问权。

按照360威胁情报中心的分析，911S5从2014年开始运营，到2022年7月关停，在2023年10月又摇身一变，化名CloudRouter继续其肮脏生意，终于在2024年5月被多国联合执法摧毁。911S5的僵尸网络运行时间长、涉及多个国家的19M个IP地址、行为高调，虽然经过执法行动后大势已去，但是其数字遗产仍然对网络空间构成了现实且显著的威胁，下文是我们对威胁分析的结果。

911S5出售的代理服务背后是数千万被感染的设备。受害者主动或被动下载捆绑了恶意代码的软件、免费VPN程序等。在程序启动后，恶意代码将会创建持久化服务作为后门，为911S5客户提供代理服务。

在2023年以前，911S5使用的免费VPN包括:ProxyGate、MaskVPN、DewVPN与ShineVPN。我们观察到最早出现的VPN程序是ProxyGate，在2016年至2020年间活跃。

911S5与VPN程序的强关联 共同的基础设施

将911S5与一众免费VPN关联起来的关键性证据就是它们共用了一部分基础设施。我们注意到，911.re、searchsafe.com、maskvpn.org、proxygate、911.gg、dewvpn.com的电子邮件服务都曾被解析到同一个服务器:173.244.211.96，证明911S5和特定免费VPN程序拥有共同的运营者。

更多数据，请查看最后一部分”共用IP”。

相似的样本行为

MaskVPN、DewVPN以及ShineVPN拥有相似的编码方式、进程链结构：

MaskVPN进程链 DewVPN进程链

2022年7月，911S5的运营者停止了911S5的服务，但是它们也并未蛰伏太长时间。2023年2月，911S5的继任者CloudRouter被研究人员发现；10月，CloudRouter正式发布，提供类似911S5的住宅服务，它使用PaladinVPN、Shield VPN感染设备并继续构建代理网络，我们确认这是换汤不换药的911S5。

CloudRouter，换汤不换药 共用基础设施

与911S5类似，cloudrouter.pro、paladinvpn.com、shieldvpn.org的电子邮件服务解析到了相同的服务器:209.126.108.53。

更多数据，请查看最后一部分”共用IP”。

样本的强关联 CloudRouter使用的PaladinVPN、ShineVPN的编码方式、进程链与MaskVPN、DewVPN高度相似。 PaladinVPN进程链 根据美国法院的扣押文件，在2023年8月份，分析人员观察到了从MaskVPN到ShieldVPN的升级，该文件声称ShieldVPN、PaladinVPN与reachfresh.com通信，并从updatepanel.cc&upgradeportal.org接受更新指令。 PaladinVPN的推广域名

我们注意到，有150+个推广域名都解析到了同一个地址148.72.152.203 ，如：

soccerstreamingvpn.com freevpnlebanon.com…