Autoriteiten in Europa en Noord-Amerika hebben de criminele VPN-dienst First VPN ontmanteld, die door cybercriminelen werd ingezet om de herkomst van ransomwareaanvallen, datadiefstal, scanning en denial-of-service aanvallen te verbergen. De actie werd geleid door Frankrijk en Nederland, met ondersteuning van onder meer Luxemburg, Roemenië, Zwitserland, Oekraïne, het Verenigd Koninkrijk, Canada, Duitsland, de Verenigde Staten, Spanje, Zweden, Denemarken, Estland, Letland, Litouwen, Polen en Portugal. De gezamenlijke operatie liep sinds december 2021 en vond plaats tussen 19 en 20 mei 2026.

Volgens Europol bood First VPN een dienst aan die specifiek was ontworpen voor crimineel gebruik. De service maakte anonieme betalingen mogelijk en gebruikte een verborgen infrastructuur, waardoor klanten hun identiteit konden verbergen bij het uitvoeren van ransomwareaanvallen, grootschalige fraude en datadiefstal. First VPN werd actief gepromoot op Russischtalige cybercrimeforums zoals Exploit[.]in en XSS[.]is als een middel om wetshandhaving te ontwijken.

De internationale operatie omvatte onder andere het ondervragen van de beheerder van de dienst, een huiszoeking in Oekraïne, het offline halen van 33 servers en het in beslag nemen van infrastructuur die wereldwijd werd gebruikt ter ondersteuning van cybercriminaliteit. De in beslag genomen domeinen zijn onder andere 1vpns[.]com, 1vpns[.]net en 1vpns[.]org, evenals gerelateerde onion-domeinen op het Tor-netwerk.

Eurojust meldde dat First VPN zichzelf promootte met de nadruk op anonimiteit, waarbij gebruikers werd beloofd niet samen te werken met gerechtelijke instanties, geen data op te slaan en niet onder enige jurisdictie te vallen. Volgens een gezamenlijke waarschuwing van de Amerikaanse FBI was de dienst sinds circa 2014 actief en beschikte deze over 32 exit-node servers in 27 landen, waaronder drie in de Verenigde Staten. Andere exit-nodes waren verspreid over onder meer Australië, Duitsland, Nederland, Spanje, Zweden en het Verenigd Koninkrijk.

Minstens 25 ransomwaregroepen, waaronder Avaddon Ransomware, maakten gebruik van de infrastructuur van First VPN voor netwerkverkenning en inbraken. Abonnementen varieerden van één dag tot een jaar, met prijzen tussen 2 en 483 dollar. Betalingen werden geaccepteerd via Bitcoin, Perfect Money, Webmoney, EgoPay en InterKass.

De FBI gaf aan dat First VPN meerdere verbindingsprotocollen bood, zoals OpenConnect, WireGuard, Outline en VLess TCP Reality, en diverse encryptieopties waaronder OpenVPN ECC, L2TP/IPSec en PPTP. Technische ondersteuning werd verleend via een zelfgehoste Jabber-server en de versleutelde Telegram-messenger. Met name de protocollen 'VLESS' en 'Reality' maakten het mogelijk VPN-verkeer te camoufleren als HTTPS-verkeer over poorten die normaal voor websites worden gebruikt.

Volgens archiefbeelden op Internet Archive beloofde First VPN "Anonimiteit, Stabiliteit, Veiligheid" en verklaarde het geen logs op te slaan die gebruikersactiviteiten aan een IP-adres konden koppelen. Alleen e-mailadressen en gebruikersnamen werden bewaard, maar zonder mogelijkheid om internetactiviteiten te herleiden tot een specifieke gebruiker. In de FAQ stond tevens dat het gebruik van de servers voor illegale activiteiten strikt verboden was en dat klachten over misbruik zouden leiden tot het uitschakelen van betreffende servers.