قامت وكالات إنفاذ القانون من الولايات المتحدة وأوروبا، بدعم من شركاء من القطاع الخاص، بتفكيك شبكة الوكيل الإجرامية SocksEscort. هذه الخدمة، التي تعمل ببرمجية AVRecon الضارة المصيبة للأجهزة القائمة على لينكس، وفرت على المجرمين السيبرانيين وصولاً إلى عناوين IP المخترقة. أسفرت العملية عن مصادرة نطاقات وخوادم وأصول عملات مشفرة.
تم تعطيل شبكة الوكيل SocksEscort في 12 مارس 2026، من خلال التنسيق بين السلطات الأمريكية وإنفاذ القانون الأوروبي والكيانات الخاصة مثل مختبرات Black Lotus Labs التابعة لـ Lumen (BLL). SocksEscort عملت لأكثر من عقد، وتم توثيقها لأول مرة من قبل BLL في 2023. اعتمدت حصريًا على أجهزة الحافة المخترقة ببرمجية AVRecon الضارة، التي استهدفت أجهزة توجيه المكاتب المنزلية/المكاتب الصغيرة (SOHO) القائمة على لينكس. كانت AVRecon نشطة منذ ما لا يقل عن مايو 2021 وأصابت أكثر من 70,000 جهاز من هذا النوع بحلول منتصف 2023. حافظت الشبكة على متوسط 20,000 جهاز مصاب أسبوعيًا في السنوات الأخيرة، مع أكثر من نصفها في الولايات المتحدة والمملكة المتحدة. منذ صيف 2020، عرضت SocksEscort الوصول إلى نحو 369,000 عنوان IP مختلف، يُروج لها بأنها «نظيفة» من مزودي الخدمة الرئيسيين بما في ذلك Comcast وSpectrum وSpectrum Business وVerizon وCharter. كانت هذه العناوين قادرة على التهرب من قوائم الحظر المتعددة. اعتبارًا من فبراير 2026، سردت الخدمة نحو 8,000 جهاز توجيه مصاب متاح لعملاء، بما في ذلك 2,500 في الولايات المتحدة. أبرزت وزارة العدل الأمريكية (DOJ) دور الشبكة في جرائم محددة: سهلت سرقة مليون دولار في عملة مشفرة من مستخدم في نيويورك، وتسببت في خسائر بقيمة 700,000 دولار من احتيال على شركة تصنيع في بنسلفانيا، وألحقت أضرارًا بقيمة 100,000 دولار عبر احتيال أثر على أعضاء الخدمة الأمريكية الحاليين والسابقين باستخدام بطاقات MILITARY STAR. في العملية، صادرت السلطات الأوروبية في النمسا وفرنسا وهولندا، بتنسيق من Europol، 34 نطاقًا و23 خادمًا عبر سبع دول. جمدت الولايات المتحدة 3.5 مليون دولار في عملات مشفرة. تم فصل جميع الأجهزة المصابة المتصلة بـ SocksEscort عن الخدمة الآن. جهود Lumen السابقة في 2023 عطلت AVRecon عبر توجيه null لبنيتها التحتية للقيادة والتحكم، لكن المشغلين أعادوا الوظائف لاحقًا باستخدام 15 عقدة من هذا القبيل. منذ بداية 2025، رصدت BLL 280,000 عنوان IP ضحية فريد مرتبط حصريًا بهذه البرمجية الضارة لتوسيع SocksEscort.
