🗓️ Contexte

Source : Ars Technica (Dan Goodin), publié le 29 mai 2026. L’opération a été annoncée par la police néerlandaise et le National Cyber Security Center (NCSC) des Pays-Bas à la suite du signalement d’un chercheur en sécurité.

🎯 Opération de démantèlement

Les autorités néerlandaises ont saisi plusieurs serveurs de botnet hébergés aux Pays-Bas auprès d’un fournisseur d’hébergement. Le botnet était composé de :

  • Plus de 17 millions d’appareils compromis
  • 200 serveurs de gestion

L’hébergeur a mis le botnet hors ligne en raison de son utilisation à des fins criminelles.

🔗 Lien avec ASOCKS

Selon le NL Times, le botnet est lié à ASOCKS, une entreprise russe proposant des services de proxy résidentiel. Ces services permettent d’acheminer du trafic Internet via des appareils tiers pour masquer l’identité ou la localisation des utilisateurs. Usages illicites documentés :

  • Attaques DDoS
  • Serveurs C2 de botnets
  • Opérations de phishing
  • Scraping de contenu web

🦠 Lien avec Proxylib

En 2024, la société Human Security avait établi un lien entre le botnet Proxylib et ASOCKS, sur la base de deux éléments :

  1. Des adresses IP et ports infectés par Proxylib retournés par un endpoint de liste de proxies ASOCKS
  2. Des requêtes vers asocks[.]com transitant par un appareil de test infecté

28 applications disponibles sur Google Play avaient enrôlé jusqu’à 190 000 appareils dans le réseau proxy sans consentement des utilisateurs.

📌 Type d’article

Article de presse spécialisée relatant une opération de démantèlement d’infrastructure criminelle, avec mise en contexte historique via les recherches de Human Security sur Proxylib/ASOCKS.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • ASOCKS (cybercriminal) —

TTP

  • T1090.002 — Proxy: External Proxy (Command and Control)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
  • T1588.001 — Obtain Capabilities: Malware (Resource Development)
  • T1496 — Resource Hijacking (Impact)

IOC

Malware / Outils

  • Proxylib (botnet)

🟡 Indice de vérification factuelle : 51/100 (moyenne)

  • ⬜ arstechnica.com — source non référencée (0pts)
  • ✅ 5179 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : ASOCKS (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://arstechnica.com/security/2026/05/botnet-of-more-than-17-million-devices-dismantled/