美國司法部週三（5/29）宣佈，已與新加坡、泰國及德國的執法機構合作，拆除了史上最大住家殭屍網路之一的911 S5。911 S5透過於盜版軟體或盜版遊戲中嵌入的惡意VPN程式來感染一般使用者的個人電腦，估計有超過1,900萬個裝置受駭，繼之駭客再出售這些裝置存取權，以用來進行各式各樣的犯罪行動。同一天美國財政部也制裁了3名與該殭屍網路有關的個人。負責經營與管理911 S5的中國人YunHe Wang則已於上週遭到逮捕。

根據調查，現年35歲的Wang從2014年5月至2022年7月間負責經營911 S5，除了提供免費且惡意的VPN之外，也於各種盜版軟體與盜版遊戲中嵌入惡意VPN，主要感染的對象為住家中的Windows電腦，一旦使用者下載了這些盜版內容，即可於裝置上悄悄地安裝VPN程式及代理後門，令裝置成為911 S5殭屍網路的成員，估計全球190個國家有超過1,900萬個裝置受駭，當中有逾60萬個裝置的IP位於美國。

連結至911 S5的免費VPN程式包括MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN和ShineVPN，至於代理後門則是讓911 S5用戶得以透過受害者的裝置進行犯罪行動，包括網路攻擊、炸彈威脅、金融欺詐、兒童剝削或是繞過出口管制等。

Wang管理了用來控制911 S5殭屍網路、分散在全球各地的150臺伺服器，其中約有一半是向美國供應商租賃，利用這些伺服器來部署惡意程式，控制這些受感染的裝置，以及提供911 S5殭屍網路的存取服務，估計幾年來獲利超過數千萬美元，並利用這些不法所得在美國、中國、新加坡、泰國，以及阿拉伯等地置產。另一方面，因911 S5而衍生的受害者損失則超過數十億美元。

FBI指出，911 S5始於2014年5月，在2022年7月下線，但在2023年10月更名為Cloudrouter並重新上線。不過，美國與其它國家的執法機構在上週採取行動，扣押了Wang價值逾3,000萬美元的資產、23個網域名稱及逾70臺伺服器，成功擊潰了Cloudrouter，並關閉其現有的惡意後門。

至於美國財政部制裁的對象除了Wang以外，也包括負責洗錢的Jingping Liu，以及幫Wang置產的Yanni Zheng。

FBI亦提供了詳細的指南，以協助使用者辨識裝置上的惡意VPN並將其移除。