通过免费 VPN 传播的 911 S5 僵尸网络，也许你就是肉鸡之一

美国司法部不久前发布了一份新闻稿。捣毁抓捕了一个“可能是有史以来最大的僵尸网络”，这个名为“911 S5”的僵尸网络，至少感染了 1900 万台设备，遍布全球 190 多个国家。并通过“肉鸡“（肉鸡指可以被黑客远程控制的设备）来实施计算机欺诈、实质性计算机欺诈、共谋实施电信欺诈和共谋实施洗钱罪。

而被抓捕的一个主要犯罪嫌疑人是一位来自中国国籍名35岁叫“Wang Yunhe”（音译：王云鹤），由于公布的名字是拼音，因此翻译为“王云鹤”可能存在字面错误。他们主要是通过一种名为“住宅代理服务” (RPS) ，大家可能粗略的理解为共享私人IP给大家使用，从而形成一个庞大的IP交织网络。其原理类似于“快播”中的视频共享，没有中心服务器，所有用户使用时都是通过私人共享本地文件夹来实现。

已公布的是他们发布了名为 Mask VPN 和 Dew VPN 的免费 VPN 供大家使用，通过大家使用这些免费 VPN来实现“住宅代理服务” (RPS)。看到这里大家是不是有点熟悉了，很多中国用户都是通过下载一些号称永久免费的VPN来作为翻墙的梯子工具。殊不知自己设备已经是一只可以任人宰割的“肉鸡”。以上两款 Mask 和 Dew 只是被纰漏的，也许在暗礁之下还有未公布或未发现的。

值得注意的是，安全记者 Brian Krebs 早在 2022 年 7 月 就确认这位名叫“Wang Yunhe”的人就是该“911 S5”网络的拥有者。该服务于 2022 年 7 月 28 日突然关闭，理由是其关键组件的数据泄露。然而网络安全公司联合创始人莱利·基尔默 (Riley Kilmer) 确认在关闭不久之后他们更改了门头，以名为“CloudRouter”名称再次复活，且一只运营到 2024 年 5 月初左右才关闭。

据一份公开的起诉书中提到：“Wang Yunhe” 等人制作并传播恶意软件，通过获取设备操作 1900 万个 IP，美国地区 613841 个，并将这些IP付费授权给网络犯罪分子进行诈骗。网络犯罪及诈骗分子通过这些 IP，主要是用于隐藏自己真实的来源，避免被溯源追查(简单的可以称之为 IP 跳板)。

据估计，“Wang Yunhe”通过出售被劫持的代理 IP 地址访问权获得了约 9900 万美元。并在美国、中国、新加坡、泰国和阿联酋购买了四辆豪华轿车、几块昂贵的手表以及 21 处住宅或投资房产。拥有的其他数字资产包括十多个国内外银行账户和超过 24 个加密货币钱包，这些资产被用来实施这一计划。区块链分析公司 Chainalysis 透露，与“Wang Yunhe”相关的地址持有价值 1.364 亿美元的加密货币。

需要明白的是“住宅代理服务” (RPS)其本身是合法的，至少在美国是合法的技术。但是将中性的技术使用到了违法的事件当中去。