AMSTERDAM · Internationale Cyberkriminalität im Visier der Behörden – In einem gemeinsamen Schlag gegen die organisierte Cyberkriminalität haben die niederländische Polizei in Amsterdam und die US-Bundespolizei FBI die illegale Proxyplattform Anyproxy abgeschaltet. Die seit 2004 aktive Infrastruktur ermöglichte Cyberkriminellen weltweit den anonymen Zugriff auf gekaperte Heimrouter und diente als Grundlage für Phishing, Ransomware und Datendiebstahl. Über 6.000 IP-Adressen wurden missbraucht – viele davon in den USA. In einem koordinierten Einsatz wurden nun weltweit Server beschlagnahmt, Domains stillgelegt und vier Verdächtige angeklagt. Die Aktion sendet ein klares Signal gegen kriminelle Ausnutzung veralteter digitaler Infrastrukturen.

Die internationale Operation mit dem Codenamen „Moonlander“ stellt einen bedeutenden Erfolg im Kampf gegen digitale Schattennetzwerke dar. Im Zentrum stand der kriminelle Proxydienst Anyproxy, der laut niederländischer Polizei über zwei Jahrzehnte hinweg gezielt Schwachstellen in veralteten Heimroutern ausnutzte. Durch die Platzierung von Malware auf nicht aktualisierten Geräten verschafften sich die Betreiber Zugriff auf private Netzwerke, um diese IP-Adressen anschließend anonymisiert weiterzuverkaufen. Die Ermittlungen begannen in Amsterdam, nachdem das IP-Signal eines niederländischen Bürgers mit Online-Betrug in Verbindung gebracht worden war. Die Spur führte zu einem globalen Botnetz, das maßgeblich über niederländische Server in rund sechzig Amsterdamer Rechenzentren lief – ein Umstand, der Fragen nach der Regulierung der Hostingbranche aufwirft.

Hintergründe zu Anyproxy

Anyproxy und 5socks boten über zwei Jahrzehnte hinweg Zugang zu kompromittierten Routern auf der ganzen Welt an. Nutzer zahlten zwischen rund 10 und 110 US-Dollar im Monat, um ihre Internetaktivitäten zu verschleiern – unter anderem zur Durchführung illegaler Machenschaften wie Identitätsdiebstahl, Betrug und Erpressung. Die dahinterstehende Infrastruktur war teils in den USA registriert, aber weltweit gehostet – insbesondere auch in den Niederlanden, wo durch das offene Hostingmodell ein günstiges Umfeld für solche Dienste existiert. Die Angriffe richteten sich gegen veraltete Routermodelle, sogenannte „End-of-Life“-Geräte, die keine Sicherheitsupdates mehr erhielten.

Internationale Ermittlungen

Die niederländische Polizei arbeitete im Auftrag des Openbaar Ministerie eng mit der FBI Cyber Task Force in Oklahoma City zusammen. Deren Ermittler stellten fest, dass Router in Privathaushalten und Unternehmen in Oklahoma unbemerkt infiziert worden waren. In Folge dessen wurde am 7. Mai 2025 weltweit koordiniert zugeschlagen: Server wurden beschlagnahmt, die Domains anyproxy.net und 5socks.net abgeschaltet. Auch die US-Justiz veröffentlichte ihre Anklage gegen vier mutmaßliche Betreiber: Drei russische und ein kasachischer Staatsbürger werden beschuldigt, das Botnetz aufgebaut und über Jahre hinweg betrieben zu haben. Der mutmaßliche Schaden wird auf über 46 Millionen US-Dollar beziffert.

Schwachstelle Heimrouter

Die Methode der Täter war perfide: Alte Router, die in Haushalten nicht mehr gewartet wurden, wurden mit Schadsoftware infiziert. Damit wurden sie zu unbemerkten Zwischenstationen für den Internetverkehr. Durch diese Kaskade war es für Ermittler kaum möglich, die tatsächlichen Täter ausfindig zu machen. Viele der betroffenen Routerbesitzer wussten nicht, dass ihre Geräte gekapert wurden. Die niederländische Polizei ruft daher eindringlich dazu auf, regelmäßig zu überprüfen, ob Router noch mit Sicherheitsupdates versorgt werden – etwa über die Seite veiliginternetten.nl.

Forderung nach gesetzlicher Verschärfung

Aus Sicht der niederländischen Behörden ist die erfolgreiche Abschaltung von Anyproxy ein starkes Signal, reicht aber allein nicht aus. Der Dreierbund aus Stadtverwaltung, Polizei und Staatsanwaltschaft in Amsterdam fordert schärfere Gesetze – etwa ein verpflichtendes Know-Your-Customer-Verfahren für Hostinganbieter und ein Verbot anonymer Kryptozahlungen. Nur so könne verhindert werden, dass kriminelle Netzwerke ihre Aktivitäten ungestört fortsetzen.

Internationale Zusammenarbeit entscheidend

Die Operation wurde durch enge Kooperation zwischen niederländischen und amerikanischen Ermittlern ermöglicht. Auch Behörden aus Thailand sowie Experten von Black Lotus Labs, dem Sicherheitsarm von Lumen Technologies, leisteten wertvolle technische Unterstützung. Die US-Staatsanwaltschaft in Oklahoma sowie das Justizministerium in Virginia führen nun die Anklage gegen die vier Beschuldigten. Derzeit gilt für sie die Unschuldsvermutung.