美国司法部周三（5/29）宣布，已与新加坡、泰国及德国的执法机构合作，拆除了史上最大住家僵尸网络之一的911 S5。911 S5通过于盗版软件或盗版游戏中嵌入的恶意VPN程序来感染一般用户的个人电脑，估计有超过1,900万个设备受骇，继之黑客再出售这些设备存取权，以用来进行各式各样的犯罪行动。同一天美国财政部也制裁了3名与该僵尸网络有关的个人。负责经营与管理911 S5的中国人YunHe Wang则已于上周遭到逮捕。

根据调查，现年35岁的Wang从2014年5月至2022年7月间负责经营911 S5，除了提供免费且恶意的VPN之外，也于各种盗版软件与盗版游戏中嵌入恶意VPN，主要感染的对象为住家中的Windows电脑，一旦用户下载了这些盗版内容，即可于设备上悄悄地安装VPN程序及代理后门，令设备成为911 S5僵尸网络的成员，估计全球190个国家有超过1,900万个设备受骇，当中有逾60万个设备的IP位于美国。

链接至911 S5的免费VPN程序包括MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN和ShineVPN，至于代理后门则是让911 S5用户得以通过受害者的设备进行犯罪行动，包括网络攻击、炸弹威胁、金融欺诈、儿童剥削或是绕过出口管制等。

Wang管理了用来控制911 S5僵尸网络、分散在全球各地的150台服务器，其中约有一半是向美国供应商租赁，利用这些服务器来部署恶意程序，控制这些受感染的设备，以及提供911 S5僵尸网络的存取服务，估计几年来获利超过数千万美元，并利用这些不法所得在美国、中国、新加坡、泰国，以及阿拉伯等地置产。另一方面，因911 S5而衍生的受害者损失则超过数十亿美元。

FBI指出，911 S5始于2014年5月，在2022年7月下线，但在2023年10月更名为Cloudrouter并重新上线。不过，美国与其它国家的执法机构在上周采取行动，扣押了Wang价值逾3,000万美元的资产、23个网域名称及逾70台服务器，成功击溃了Cloudrouter，并关闭其现有的恶意后门。

至于美国财政部制裁的对象除了Wang以外，也包括负责洗钱的Jingping Liu，以及帮Wang置产的Yanni Zheng。

FBI亦提供了详细的指南，以协助用户辨识设备上的恶意VPN并将其移除。