Las agencias de aplicación de la ley de Estados Unidos y Europa, con el apoyo de socios privados, han desmantelado la red proxy cibercriminal SocksEscort. Este servicio, impulsado por el malware AVRecon que infecta dispositivos basados en Linux, proporcionaba a los ciberdelincuentes acceso a direcciones IP comprometidas. La operación resultó en la incautación de dominios, servidores y activos en criptomonedas.
La interrupción de la red proxy SocksEscort se produjo el 12 de marzo de 2026, con la coordinación entre autoridades de EE. UU., fuerzas del orden europeas y entidades privadas como los Laboratorios Black Lotus (BLL) de Lumen. SocksEscort operó durante más de una década, documentada por primera vez por BLL en 2023. Se basaba exclusivamente en dispositivos de borde comprometidos por el malware AVRecon, que tomaba como objetivo routers SOHO (pequeñas oficinas/hogar) basados en Linux. AVRecon ha estado activo desde al menos mayo de 2021 e infectó a más de 70.000 de dichos dispositivos para mediados de 2023. La red mantenía un promedio de 20.000 dispositivos infectados de forma semanal en los últimos años, con más de la mitad ubicados en Estados Unidos y el Reino Unido. Desde el verano de 2020, SocksEscort ofrecía acceso a unas 369.000 direcciones IP diferentes, publicitada como «limpias» de grandes ISP como Comcast, Spectrum, Spectrum Business, Verizon y Charter. Estas direcciones podían evadir múltiples listas de bloqueo. A febrero de 2026, el servicio listaba unos 8.000 routers infectados disponibles para el acceso de clientes, incluidos 2.500 en Estados Unidos. El Departamento de Justicia de EE. UU. (DOJ) destacó el papel de la red en delitos específicos: facilitó el robo de 1 millón de dólares en criptomonedas a un usuario de Nueva York, causó pérdidas de 700.000 dólares al defraudar a una empresa manufacturera con sede en Pensilvania y provocó daños de 100.000 dólares mediante fraude que afectó a miembros activos y antiguos de las fuerzas armadas de EE. UU. que utilizaban tarjetas MILITARY STAR. En la operación, autoridades europeas en Austria, Francia y Países Bajos, coordinadas por Europol, incautaron 34 dominios y 23 servidores en siete países. EE. UU. congeló 3,5 millones de dólares en criptomonedas. Todos los dispositivos infectados conectados a SocksEscort han sido ahora desconectados del servicio. Los esfuerzos previos de Lumen en 2023 interrumpieron AVRecon al aplicar null-routing a su infraestructura de comando y control, pero los operadores restauraron más tarde la funcionalidad utilizando 15 de dichos nodos. Desde principios de 2025, BLL observó 280.000 direcciones IP únicas de víctimas vinculadas exclusivamente a este malware para expandir SocksEscort.
