La Polizia olandese e il Nationaal Cyber Security Centrum (NCSC) smantellano una botnet da 17 milioni di dispositivi infetti, interrompendo una delle infrastrutture criminali più estese individuate negli ultimi anni in Europa. L’operazione porta al sequestro di oltre 200 server di comando e controllo (C2) ospitati presso un provider di hosting nei Paesi Bassi, utilizzati per coordinare dispositivi compromessi in attività di attacchi DDoS, proxying di traffico malevolo, frodi online e mining di criptovalute. Il caso mostra con chiarezza quanto i botnet moderni non siano più semplici reti di computer infetti, ma infrastrutture commerciali criminali capaci di trasformare dispositivi di utenti ignari in risorse operative per attori malevoli. Computer, tablet e smartphone venivano sfruttati in background senza che i proprietari percepissero necessariamente sintomi evidenti. L’intervento coordinato tra autorità pubbliche, centro nazionale di cybersecurity e provider di hosting ha permesso di colpire il cuore dell’infrastruttura, neutralizzando la capacità di comando senza dover intervenire singolarmente sui milioni di endpoint compromessi. L’operazione rafforza il ruolo dell’Olanda nella risposta europea alle minacce distribuite e conferma che la lotta ai botnet passa sempre più dal sequestro dei nodi centrali, dalla cooperazione pubblico-privata e dalla capacità di reagire rapidamente a segnalazioni tecniche qualificate.
Cosa leggere
L’operazione congiunta tra Polizia olandese e NCSC
L’operazione nasce da una segnalazione ricevuta dal NCSC da parte di un ricercatore di sicurezza e si sviluppa il 28 maggio 2026 attraverso un’azione coordinata con la Polizia olandese. Le informazioni tecniche consentono di identificare oltre 200 server C2 collocati presso un provider di hosting nei Paesi Bassi, utilizzati per controllare una rete stimata in almeno 17 milioni di dispositivi compromessi. La Polizia procede al sequestro dei server per finalità investigative, mentre il provider, una volta confermata la natura illecita dell’infrastruttura, disattiva l’intero apparato operativo. Il coordinamento tra autorità e settore privato si rivela decisivo perché permette di passare rapidamente dall’attribuzione tecnica all’interruzione concreta del servizio criminale. In un botnet di queste dimensioni, agire sui singoli dispositivi infetti sarebbe stato inefficiente, lento e incompleto. Colpire i server centrali significa invece interrompere il canale attraverso cui gli operatori inviano comandi, aggiornano moduli, gestiscono traffico e monetizzano la rete. Il ruolo del NCSC è centrale perché trasforma una segnalazione di ricerca in intelligence operativa, mentre la Polizia olandese fornisce il braccio giudiziario necessario per preservare prove e bloccare l’infrastruttura. Questo modello dimostra come la cyber difesa nazionale debba unire capacità tecniche, strumenti investigativi e cooperazione con operatori privati che ospitano infrastrutture potenzialmente abusate.
La botnet usava 200 server per DDoS, proxy e mining
La botnet smantellato operava attraverso una struttura centralizzata composta da oltre 200 server di comando e controllo, impiegati per coordinare milioni di dispositivi infetti distribuiti in diversi Paesi. Le attività attribuite alla rete includono attacchi DDoS, instradamento di traffico malevolo tramite proxy, invio di spam, supporto a campagne di phishing, frodi online e cryptomining non autorizzato. Il funzionamento segue una logica tipica delle grandi reti criminali: il malware installato sui dispositivi delle vittime resta attivo in background, riceve istruzioni dai server C2 e usa risorse locali come banda, indirizzo IP, CPU e connettività per svolgere operazioni illecite. In alcuni scenari, il botnet agiva come piattaforma proxy, offrendo indirizzi IP compromessi a soggetti terzi. Secondo media locali, l’infrastruttura sarebbe stata collegata al servizio Asocks, noto per la disponibilità di circa 7 milioni di indirizzi IP in 150 location e per una base dichiarata di oltre 100.000 clienti. Questo elemento, se confermato nell’intero perimetro investigativo, mostra la convergenza tra botnet, mercato dei proxy residenziali e criminalità informatica organizzata. Molti utenti potrebbero aver installato software apparentemente legittimi o accettato la condivisione di banda in cambio di servizi, senza comprendere che il proprio dispositivo veniva integrato in una rete utilizzabile per scopi malevoli. La disattivazione dei server spezza il collegamento tra dispositivi e operatori, rendendo inutilizzabile la rete come infrastruttura criminale coordinata.
Milioni di utenti inconsapevoli trasformati in risorsa criminale
L’impatto sulle vittime è stato esteso ma spesso invisibile, perché i 17 milioni di dispositivi infetti potevano continuare a funzionare mentre il malware consumava risorse in background. I proprietari di computer, tablet e smartphone compromessi hanno contribuito involontariamente ad attività criminali senza necessariamente subire un danno immediatamente percepibile. Questo aspetto rende le botnet particolarmente insidiosi: l’utente non sempre vede file cifrati, credenziali rubate o rallentamenti evidenti, ma il dispositivo diventa parte di una catena offensiva che colpisce terzi. Le risorse delle vittime possono alimentare traffico DDoS contro siti web, rendere più credibili operazioni di frode grazie all’uso di indirizzi IP residenziali, sostenere campagne di spam o generare profitto attraverso mining di criptovalute. La minaccia non si limita quindi al singolo endpoint, ma si propaga verso aziende, istituzioni, servizi online e infrastrutture digitali che subiscono gli effetti aggregati del traffico malevolo. La neutralizzazione dell’infrastruttura centrale riduce immediatamente la capacità operativa del botnet, ma non significa che tutti i dispositivi siano automaticamente bonificati. Il malware potrebbe restare installato su molti apparati, anche se non riceve più comandi dai server sequestrati. Questo lascia aperto un rischio latente: se gli operatori criminali riuscissero a ricostruire una nuova infrastruttura di comando o a riattivare componenti dormienti, una parte della rete potrebbe tornare operativa. Per questo la risposta tecnica deve proseguire anche dopo il sequestro, con scansioni, aggiornamenti e rimozione dei software sospetti.
Il ruolo decisivo del provider di hosting
La collaborazione del provider di hosting olandese si rivela un elemento decisivo dell’operazione. Dopo il sequestro dei server da parte della Polizia olandese, il provider procede alla disattivazione dell’intera infrastruttura una volta verificato l’uso criminale delle risorse ospitate. Questo passaggio accelera la neutralizzazione della botnet e riduce la possibilità che gli operatori possano mantenere attivi server residui o spostare rapidamente parte delle funzioni. I provider di hosting occupano una posizione delicata nella sicurezza informatica globale, perché possono ospitare infrastrutture legittime, servizi abusati o nodi direttamente controllati da gruppi criminali. La capacità di rispondere rapidamente a segnalazioni tecniche qualificate e a richieste delle autorità diventa quindi un fattore critico nella difesa contro reti distribuite. Il caso olandese mostra che la cooperazione pubblico-privata non è un elemento accessorio, ma una condizione operativa per colpire infrastrutture criminali complesse. Il NCSC fornisce contesto tecnico, la Polizia esercita i poteri investigativi e il provider interviene sull’ambiente fisico e logico in cui i server sono ospitati. Questo modello riduce i tempi tra identificazione e disattivazione, limitando i danni e impedendo al botnet di continuare a monetizzare dispositivi compromessi. In assenza di un provider collaborativo, le operazioni di takedown possono diventare più lente, frammentate e vulnerabili a spostamenti rapidi dell’infrastruttura verso nuove giurisdizioni.
Asocks e il mercato dei proxy residenziali
Il possibile collegamento con Asocks evidenzia un punto centrale della criminalità informatica contemporanea: il confine sempre più fragile tra servizi proxy commerciali, reti residenziali e infrastrutture botnet. I proxy residenziali vengono spesso presentati come strumenti legittimi per scraping, verifica pubblicitaria, test geografici o protezione della privacy, ma possono diventare canali ideali per frodi, credential stuffing, spam, phishing e aggiramento dei controlli antifrode. Un indirizzo IP appartenente a un dispositivo domestico o mobile appare spesso meno sospetto rispetto a un IP di datacenter, rendendo più difficile il rilevamento automatico delle attività malevole. Se una rete proxy viene alimentata da dispositivi compromessi o da utenti che non comprendono pienamente l’uso della propria banda, il servizio si trasforma in un’infrastruttura opaca in cui consenso, trasparenza e legalità diventano difficili da verificare. Il riferimento a 7 milioni di indirizzi IP, 150 location e oltre 100.000 clienti mostra la scala industriale di questo mercato. Il sequestro dei server in Olanda non colpisce soltanto una rete tecnica, ma un modello economico fondato sulla trasformazione della connettività altrui in prodotto rivendibile. Per la sicurezza globale, questo settore rappresenta una superficie di rischio crescente, perché consente agli attaccanti di distribuire il traffico su milioni di identità di rete difficili da distinguere da utenti legittimi. La vicenda dimostra che la lotta ai botnet deve includere anche un’analisi più severa dei servizi che commercializzano accesso a IP residenziali e mobili.
I dispositivi infetti restano un rischio dopo il takedown
La disattivazione dei server C2 interrompe il controllo operativo del botnet, ma non elimina automaticamente il malware dai 17 milioni di dispositivi infetti. Molti endpoint potrebbero continuare a ospitare componenti malevoli, configurazioni persistenti o software ambiguo capace di riattivarsi in presenza di nuovi server. Questo significa che utenti privati e organizzazioni devono trattare l’operazione come una riduzione del rischio, non come una bonifica completa. Computer, smartphone e tablet devono essere sottoposti a scansioni antivirus aggiornate, verifica delle applicazioni installate, rimozione di software proxy sospetti e aggiornamento dei sistemi operativi. Le aziende devono controllare traffico anomalo in uscita, connessioni verso domini o IP sospetti, consumo insolito di banda e comportamenti endpoint compatibili con attività di tunneling, mining o partecipazione a traffico DDoS. La persistenza del rischio è un tratto comune dei grandi takedown: l’infrastruttura centrale cade, ma la superficie compromessa resta distribuita e richiede interventi locali. Questo aspetto impone una comunicazione chiara agli utenti, perché molti potrebbero non avere alcuna consapevolezza dell’infezione. Il rischio è maggiore quando l’installazione deriva da software apparentemente legittimi, app di ottimizzazione, strumenti proxy o programmi che promettono vantaggi in cambio della condivisione di banda. La sicurezza endpoint resta quindi il secondo livello dell’operazione, indispensabile per impedire che la rete venga ricostruita o che gli stessi dispositivi vengano assorbiti da nuovi botnet.
L’impatto sulla cybersecurity europea e globale
Lo smantellamento del botnet da 17 milioni di dispositivi rappresenta un risultato significativo per la cybersecurity europea e globale. Una rete di queste dimensioni costituisce una risorsa offensiva potente, utilizzabile per saturare servizi online, mascherare attività criminali, distribuire traffico fraudolento e monetizzare risorse computazionali rubate. La neutralizzazione dei 200 server C2 riduce la capacità immediata degli operatori criminali e invia un messaggio operativo: anche infrastrutture molto grandi possono essere colpite se vengono individuati i nodi centrali e se le autorità riescono a cooperare rapidamente con il settore privato. Il caso conferma inoltre l’importanza delle segnalazioni dei ricercatori di sicurezza, che spesso rappresentano il primo punto di emersione di attività criminali distribuite. Per imprese e istituzioni, l’operazione olandese richiama la necessità di monitorare traffico anomalo, rafforzare controlli endpoint e mantenere relazioni attive con centri nazionali di cybersecurity e forze dell’ordine. Per gli utenti privati, il messaggio è ancora più diretto: installare software poco chiari, accettare condivisioni di banda non trasparenti o ignorare aggiornamenti di sicurezza può trasformare un dispositivo personale in parte di un’infrastruttura criminale. La lotta ai botnet richiede continuità, perché ogni takedown interrompe una rete, ma non elimina il modello economico che spinge i criminali a ricostruirne altre. L’azione di Polizia olandese, NCSC e provider di hosting dimostra però che la combinazione tra intelligence tecnica, poteri giudiziari e collaborazione infrastrutturale può produrre risultati concreti anche contro minacce distribuite su scala globale.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
