El día 7 de mayo, el Buró Federal de Investigaciones (FBI, por sus siglas en inglés) emitió un comunicado oficial en el que alertaba sobre indicadores de compromiso (IoC) y técnicas, tácticas y procedimientos (TTPs) asociados a la actividad de cibercriminales mediante el uso de los servicios 5Socks y Anyproxy. A través de estos servicios se desplegaba malware que aprovechaba vulnerabilidades en routers que se encontraban al final de su vida útil (end-of-life routers), lo cual les permitía controlarlos y emplearlos como parte de una botnet para realizar ataques coordinados o vender el acceso a los mismos como servicios de proxy.

Los atacantes explotaban con éxito vulnerabilidades conocidas en routers expuestos a internet, de manera remota y utilizando el software de administración del dispositivo. Así obtenían acceso e instalaban el malware necesario para mantener el control persistente sobre el router.

El malware se propagaba entre dispositivos conectados a internet que tuvieran habilitado el acceso remoto. Incluso les permitía evadir la autenticación por contraseña y acceder directamente a la terminal del dispositivo para realizar modificaciones. Una vez instalado, se mantenía la comunicación con el router infectado para asegurar su disponibilidad para los atacantes y sus clientes, y se abrían los puertos necesarios para que pudiera ser utilizado como servidor proxy.

Finalmente, el 9 de mayo se emitió una acusación formal, junto con una orden de embargo de dominio. Los acusados son los ciudadanos rusos Alexey Viktorovich Chertkov (37 años), Kirill Vladimirovich Morozov (41 años), Aleksandr Aleksandrovich Shishkin (36 años) y el ciudadano kazajo Dmitriy Rubtsov (38 años). Todos fueron acusados de conspiración y daños a computadoras protegidas, por operar, mantener y beneficiarse de servicios de botnet conocidos como Anyproxy y 5Socks.

Además de lo mencionado, el sitio web 5socks.net ofrecía la venta de más de 7.000 proxies en todo el mundo, incluidos los Estados Unidos. Para ello, los usuarios pagaban una suscripción mensual que oscilaba entre 9,95 y 110 dólares, generando así ingresos que superaban los 46 millones de dólares por la venta de acceso a routers infectados pertenecientes a la botnet Anyproxy durante los últimos 20 años.

Actualmente, los dominios anyproxy.net y 5socks.net se encuentran incautados, y presentan la imagen que ilustra este artículo.

Fuentes:
"Botnet Dismantled in International Operation, Russian and Kazakhstani Administrators Indicted", recuperado de https://www.justice.gov/usao-ndok/pr/botnet-dismantled-international-operation-russian-and-kazakhstani-administrators

"Cyber Criminal Services Targen End-of-Life Routers to Launch Attacks and Hide Their Activities", recuperado de https://www.ic3.gov/CSA/2025/250507.pdf