一項國際聯合執法行動關閉了兩項服務，這些服務被指控向網路犯罪分子提供由被駭客入侵的連網設備（包括路由器）組成的殭屍網路。美國檢察官還起訴了四名被指控入侵這些設備並運行殭屍網路的人員。

週三，Anyproxy 和5Socks 的網站主頁被執法機構替換，並發布通知稱，這兩家公司已被美國聯邦調查局（FBI）查封，這是一項名為「月球登陸行動」（Operation Moonlander）的執法行動的一部分。通知稱，這項執法行動由美國聯邦調查局、荷蘭國家警察局（Politie）、美國奧克拉荷馬州北區檢察官辦公室和美國司法部共同實施。

隨後，美國檢察官於週五宣布搗毀該殭屍網絡，並起訴三名俄羅斯人：阿列克謝·維克托羅維奇·切爾特科夫(Alexey Viktorovich Chertkov)、基里爾·弗拉基米羅維奇·莫羅佐夫(Kirill Vladimirovich Morozov)、亞歷山大·亞歷山德羅維奇·莫羅佐夫(Kirill Vladimirovich Morozov)、亞歷山大·亞歷山德羅維奇·莫羅佐夫(Aldrsanl)以及哈薩克公民德米特里·魯布佐夫(Dmitriy Rubtsov)。這四人被控以提供合法代理服務的名義運營Anyproxy 和5Socks 並從中牟利，但檢察官稱這些服務實際上是在被駭客入侵的路由器上建造的。

根據目前尚未公開的起訴書，切爾特科夫、莫羅佐夫、魯布托索夫和希甚金均居住在美國境外，他們針對存在已知漏洞的舊款無線網路路由器發動攻擊，導致「數千台」此類設備遭入侵。

根據他們的網站和收費機構的信息，在控制了這些路由器之後，這四個人就開始在Anyproxy 和5Socks 上出售殭屍網路的存取權限，而這兩項服務自2004 年以來一直活躍。

代理網路本身並不違法；這些服務通常用於向客戶提供IP位址，以便存取受地理限制的內容或繞過政府審查。然而，美國司法部稱，Anyproxy和5Socks涉嫌透過感染數千台易受攻擊的連網設備，並有效地將其轉變為網路犯罪分子使用的殭屍網絡，從而建立了其代理網路（其中一些由住宅IP位址構成）。

起訴書中寫道：“這樣一來，殭屍網路用戶的網路流量似乎來自分配給受感染設備的IP 位址，而不是分配給用戶實際用於進行線上活動的設備的IP 位址。”

起訴書補充說：「透過5Socks 行動的共謀者在社群媒體和線上論壇（包括網路犯罪論壇）上公開宣傳Anyproxy 殭屍網路是住宅代理服務。這類住宅代理服務對犯罪者在實施網路犯罪時提供匿名性特別有用；與商業IP 位址相比，住宅IP 位址通常更有可能被網路安全服務視為合法流量。」

根據美國司法部的新聞稿，這四人透過出售殭屍網路存取權限獲利超過4,600 萬美元。

美國聯邦調查局、司法部和荷蘭國家警察局均未回應置評請求。

Black Lotus Labs 的研究員Ryan English 在網域被查封之前介紹說，這兩項服務被用於多種類型的濫用，包括密碼噴灑、發動分散式阻斷服務( DDoS ) 攻擊和廣告詐欺。

週五，網路安全公司Lumen 旗下的研究團隊Black Lotus Labs發布了一份報告，表示他們協助當局追蹤代理商網路。正如Black Lotus 在報告中所解釋的那樣，該殭屍網路「旨在為網路惡意行為者提供匿名性」。

English 和他的同事確信Anyproxy 和5Socks 是“由相同運營商運行的相同代理池，只是名稱不同”，並且“殭屍網絡的主體是路由器，包括各種報廢的品牌和型號”。

根據該報告，基於Lumen 的全球網路可見性，該殭屍網路「在80 多個國家平均每週擁有約1000 個活躍代理商」。

一家追蹤網路代理服務的公司Spur 也參與了這項行動。 Spur 聯合創始人Riley Kilmer 表示，雖然5Socks 是該公司追蹤的規模較小的犯罪網絡之一，但該網絡「因金融詐騙而越來越受歡迎」。