美国捣毁住宅IP代理团伙911 S5，非法控制超过1900万个IP地址提供VPN服务

美国司法部最近公布，他们成功捣破了名为「911 S5」的僵尸网络，同时拘捕了背后的中国借首脑。这个僵尸网络规模极为庞大，被用作进行各种非法活动，造成严重损失。

美国司法部长Merrick Garland表示，「911 S5」僵尸网络利用MaskVPN和DewVPN等VPN软件感染了全球1,900多万个IP位址，然后出售这些被入侵IP位址的存取权限，犯罪分子可以利用这些IP位址掩盖他们的活动，同时实施各种犯罪，包括网络攻击、大规模诈骗、剥削儿童、骚扰、炸弹威胁和违反出口规定等。「911 S5」在2014年至2022年7月间活跃，相关犯罪活动涉及金额达数十亿美元，而僵尸网络亦因此赚得1亿美元。

FBI局长Christopher Wray指出，僵尸网络感染了近200个国家的电脑，在国际合作伙伴的帮助下最近终于被捣破。行动中35岁的中国男子YunHe Wang涉嫌作为主脑策划行动被捕，被控合谋电脑诈骗、合谋电汇诈骗和合谋洗黑钱，如果所有罪名成立，将面临高达65年监禁。而Wang与另外两名相关人士Jingping Liu和Yanni Cheng，以及其拥有的公司亦被实施金融制裁。

住宅 IP 代理服务是一种比较常见的网络服务，存在这种服务是因为基于安全和防范攻击的目的，不少网络平台都会禁止使用服务器 IP 访问。

例如亚马逊等电商网站就可能会对服务器 IP 封禁或变相降权，一些从事亚马逊销售的电商企业就会通过美国住宅 IP 代理服务进行访问，这些 IP 地址相对来说比较干净不容易被封禁。

有需求自然就会有相应的市场，所以市场上出现各类住宅 IP 代理服务，本质上就是对外提供 VPN 服务，让使用者可以通过 VPN 连接住宅 IP 关联的设备，进而转发所有流量。

当然电商卖家的需求只是很小的规模，住宅 IP 代理领域更多用户实际是黑客和欺诈团伙，这些犯罪分子使用住宅 IP 代理来隐藏真实的 IP 地址。

庞大的僵尸网络：

从某种意义上住宅 IP 代理服务就没有干净的，因为要收集庞大的 IP 地址和关联的设备非常困难，因此多数都是非法手段进行入侵的。

例如 911 S5，其背后的团伙控制着规模及其庞大的僵尸网络，被感染的设备通过恶意软件连接黑客的服务器，当购买住宅 IP 代理服务的用户发起连接时，恶意软件会通过服务器响应指令进行流量转发。

该团伙控制的设备远不只是美国市场的，实际上他们在全球各国都有肉鸡，可以提供各国的住宅 IP 地址用于非法活动，这也是为什么美国执法机构的数据是 911 S5 入侵了高达 1,900 万个 IP 地址关联的设备。

IP 地址被用于各种非法活动：

显然使用住宅 IP 代理服务的远远不止电商卖家，这种属于 VPN 服务可以隐藏真实的 IP 地址，因此各类黑客、诈骗团伙都积极购买 911 S5 的服务。

调查还发现有诈骗团伙通过 911 S5 的住宅 IP 代理申请美国的某些救济计划，进而导致美国政府损失超过数十亿美元，所以遭到打击也是必然的。

不过和大多数僵尸网络一样，尽管说其实是被捣毁了，但他们可能很快就会死灰复燃，911 S5 曾在 2022 年崩溃过一次，但几个月后就复活了。