Le autorità olandesi hanno smantellato una delle botnet più grandi mai documentate in Europa: 17 milioni di dispositivi compromessi in 163 paesi, controllati da oltre 200 server ospitati nei Paesi Bassi. Il servizio in questione era Asocks, una piattaforma di proxy residenziali che vendeva l’accesso alle macchine infette — computer, smartphone, router, dispositivi IoT domestici — ad altri criminali informatici per mascherare traffico malevolo come normale navigazione casalinga. Un caso che illumina il modello di business del proxy-as-a-crime del cybercrime contemporaneo.
L’operazione: polizia e NCSC agiscono di Concerto
L’intervento, eseguito tra il 28 e il 29 maggio 2026, è stato condotto dalla Politie olandese in collaborazione con il National Cyber Security Centre (NCSC). Gli agenti hanno fisicamente sequestrato un sottoinsieme dei server di backend da un provider di hosting nei Paesi Bassi che aveva fornito l’infrastruttura alla piattaforma. Il provider ha quindi proceduto a portare offline l’intera rete botnet una volta appurato il suo utilizzo per finalità criminali.
Secondo la dichiarazione dell’NCSC, la rete aveva silenziosamente compromesso 17 milioni di dispositivi attraverso 163 paesi. La composizione era eterogenea: computer desktop e laptop, tablet, smartphone Android, router domestici, smart home gadget e altri dispositivi IoT. Nessuna categoria di device connessa era immune: se accessibile, diventava un potenziale nodo della rete.
Asocks: il modello di business del proxy residenziale criminale
Il quotidiano locale NL Times ha identificato il servizio come Asocks, una piattaforma commerciale di proxy residenziali. Asocks non era solo uno strumento di hacking — era un servizio con un modello di business strutturato. Il sito pubblicizzava proxy aziendali, residenziali e mobili con abbonamenti mensili compresi tra $5 e $15, con sconti del 5-15% per acquisti bulk da 10 a 100 proxy.
La logica è semplice quanto efficace: se un criminale vuole condurre un attacco, una frode, uno scraping aggressivo o un test di credential stuffing, farlo dal proprio indirizzo IP è pericoloso. Se lo fa dall’IP di un appartamento a Rotterdam o da uno smartphone in Indonesia, il traffico appare come normale attività domestica. I difensori devono distinguere il legittimo dal malevolo in un mare di indirizzi residenziali puliti — un compito enormemente più difficile.
I proxy residenziali hanno usi legittimi: aggirare restrizioni geografiche, privacy personale, test di geolocalizzazione per aziende. Ma l’ecosistema ha un lato oscuro documentato: molti provider, come Asocks, costruiscono le loro reti infettando dispositivi a insaputa dei proprietari. In aprile 2024, il team Satori Threat Intelligence di HUMAN aveva già identificato una campagna denominata PROXYLIB che coinvolgeva dispositivi Android infetti con proxyware di LumiApps e Asocks.
Il problema che persiste: sito online, dispositivi ancora infetti
L’operazione presenta un limite strutturale fondamentale che le autorità stesse non nascondono: il sito web di Asocks è rimasto accessibile dopo il sequestro, e ogni singolo dispositivo compromesso è ancora infetto. Questo è il paradosso intrinseco delle operazioni contro le botnet basate su proxy residenziali: l’infrastruttura centrale è stata neutralizzata, ma i 17 milioni di endpoint infetti sparsi in tutto il mondo rimangono con il malware installato, pronti a essere reintegrati in una nuova rete di comando non appena l’operatore ricostruisca l’infrastruttura o venda l’accesso a un nuovo gestore.
Il caso ricorda operazioni precedenti contro reti analoghe: la disruzione di SocksEscort (marzo 2026), l’intervento contro BADBOX 2.0 che aveva infettato un milione di dispositivi (2025), e lo smantellamento di IPIDea (gennaio 2026) da parte di Google. Il pattern è ricorrente: le autorità colpiscono l’infrastruttura, ma la re-infezione dei dispositivi vulnerabili è questione di tempo se i proprietari non prendono contromisure attive.
Come funziona l’infezione e come difendersi
Come spiegato dall’NCSC, i dispositivi diventano parte di una botnet quando sono accessibili ad attori malevoli. Dopo aver ottenuto l’accesso, gli attaccanti installano malware che permette il controllo remoto del dispositivo, integrandolo nella rete usata per attività criminali. I vettori di infezione più comuni includono: app Android scaricate da store non ufficiali con proxyware nascosto, router domestici con credenziali di default o firmware obsoleto, dispositivi IoT con password di fabbrica mai cambiate, e exploit di vulnerabilità note in dispositivi edge non aggiornati.
L’NCSC raccomanda un insieme di misure difensive di base che, se applicate sistematicamente, riducono drasticamente la superficie di attacco. Per i singoli utenti: mantenere i sistemi operativi aggiornati, installare app solo da fonti attendibili, usare password robuste e uniche per ogni dispositivo, abilitare l’autenticazione a due fattori dove disponibile, cambiare le password predefinite su router e dispositivi IoT, proteggere le reti Wi-Fi con WPA2 o WPA3. Per le organizzazioni: mantenere visibilità sui dispositivi edge come router e firewall, monitorare il traffico in uscita per pattern anomali, segmentare la rete IoT da quella aziendale, e implementare sistemi di rilevamento delle anomalie che identifichino picchi insoliti di traffico uscente.
Il contesto: un’industria del proxy residenziale da regolamentare
L’operazione olandese si inserisce in un dibattito più ampio su come trattare il settore dei proxy residenziali. La linea tra servizi legittimi e infrastruttura criminale è spesso sottile: alcuni provider costruiscono reti con consenso esplicito degli utenti, che vengono compensati per condividere la loro larghezza di banda; altri come Asocks costruiscono le loro reti infettando dispositivi senza alcun consenso. Dal punto di vista del difensore, la distinzione è quasi irrilevante: il traffico malevolo che arriva da un proxy residenziale “consensuale” è indistinguibile da quello che usa un dispositivo compromesso.
Questa operazione è un segnale importante delle forze dell’ordine europee nella direzione di trattare i provider di proxy residenziali costruiti su dispositivi compromessi come infrastruttura criminale diretta, non come semplici facilitatori passivi. La prossimità geografica — i server erano fisicamente nei Paesi Bassi — ha reso possibile l’azione legale che operazioni distribuite globalmente rendono molto più complessa.
Fonti: The Hacker News, BleepingComputer, NL Times, NCSC Olanda — maggio 2026.