Một chiến dịch thực thi pháp luật quốc tế đã được tòa án cấp phép, triệt phá dịch vụ proxy tội phạm mang tên SocksEscort. Dịch vụ này đã biến hàng nghìn router dân dụng trên toàn thế giới thành một botnet để thực hiện các vụ lừa đảo quy mô lớn.
"SocksEscort đã lây nhiễm phần mềm độc hại vào các router internet gia đình và doanh nghiệp nhỏ," Bộ Tư pháp Hoa Kỳ (DoJ) cho biết. "Phần mềm độc hại này cho phép SocksEscort điều hướng lưu lượng internet qua các router bị nhiễm. SocksEscort đã bán quyền truy cập này cho khách hàng của mình."
SocksEscort ("socksescort[.]com") được cho là đã rao bán quyền truy cập vào khoảng 369.000 địa chỉ IP khác nhau tại 163 quốc gia kể từ mùa hè năm 2020, với dịch vụ này liệt kê gần 8.000 router bị nhiễm tính đến tháng 2 năm 2026. Trong số đó, 2.500 router nằm ở Hoa Kỳ.
Tính đến tháng 12 năm 2025, trang web của SocksEscort tuyên bố cung cấp "static residential IPs with unlimited bandwidth" và có thể bypass spam blocklists. Nó đã quảng cáo hơn 35.900 proxy từ 102 quốc gia, với gói 30 proxy có giá 15 USD mỗi tháng. Gói 5.000 proxy có giá 200 USD mỗi tháng.
Mục tiêu và Thiệt hại
Mục tiêu cuối cùng của các dịch vụ như SocksEscort là cho phép khách hàng trả tiền tunnel internet traffic qua các thiết bị bị compromised mà nạn nhân không hề hay biết, offering them a way to blend in và làm cho việc phân biệt malicious traffic từ legitimate activity trở nên khó khăn hơn bằng cách concealing true IP addresses và locations của mình.
Một số nạn nhân bị lừa đảo trong các schemes được thực hiện bằng SocksEscort bao gồm một khách hàng của một cryptocurrency exchange sống ở New York bị lừa 1 triệu USD giá trị cryptocurrency; một manufacturing business ở Pennsylvania bị lừa 700.000 USD; và current và former U.S. service members với MILITARY STAR cards bị lừa 100.000 USD.
Chiến dịch "Operation Lightning" và kết quả
Trong một thông báo phối hợp, Europol cho biết nỗ lực này, được đặt tên mã là Operation Lightning, có sự tham gia của các cơ quan chức năng từ Áo, Bulgaria, Pháp, Đức, Hungary, Hà Lan, Romania và Hoa Kỳ. Hoạt động disruption exercise đã dẫn đến việc takedown 34 domains và 23 servers đặt tại bảy quốc gia. Tổng cộng 3,5 triệu USD cryptocurrency đã bị frozen.
"Các thiết bị này, primarily residential routers, đã bị exploited để facilitate various criminal activities, bao gồm ransomware, DDoS attacks và the distribution of child sexual abuse material (CSAM)," Europol cho biết. "Các compromised devices đã bị infected through a vulnerability trong the residential modems của một specific brand."
"Để get access vào the proxy service, customers had to use a payment platform that made it possible to anonymously purchase the service using cryptocurrency. It is estimated that this payment platform received more than EUR 5 million từ proxy service customers."
Malware AVrecon
SocksEscort được powered bởi một malware known as AVrecon, details of which were publicly documented bởi Lumen Black Lotus Labs vào tháng 7 năm 2023. Tuy nhiên, nó được assessed to be active từ ít nhất tháng 5 năm 2021. The proxy service is estimated to have victimized 280.000 distinct IP addresses beginning vào đầu năm 2025.
In addition to turning an infected device into a SocksEscort residential proxy, AVrecon is equipped to establish a remote shell to an attacker-controlled server và act as a loader bằng cách downloading và executing arbitrary payloads. The malware targets approximately 1.200 device models manufactured bởi Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link, và Zyxel.
"The vast majority of observed devices infected với AVrecon malware are small-office/home-office (SOHO) routers infected using critical vulnerabilities such as Remote Code Execution (RCE) và command injection," Cục Điều tra Liên bang Hoa Kỳ (FBI) cho biết in an alert. "AVrecon malware is written in the C language và primarily targets MIPS và ARM devices."
To achieve persistence, the threat actors đã được observed using the device's built-in update mechanism để flash a custom firmware image containing a copy of AVrecon, which is hard-coded để execute it on device startup. The modified firmware also disables the device's update và flashing features, thereby causing the devices to be permanently infected.
"This botnet posed a significant threat, as it was marketed exclusively to criminals và composed solely of compromised edge devices," the Black Lotus Labs team cho biết. "Over the past several years, SocksEscort maintained an average size of approximately 20.000 distinct victims weekly, with communications routed through an average of 15 command-and-control nodes (C2s)."
