Les agences d'application de la loi des États-Unis et d'Europe, soutenues par des partenaires privés, ont démantelé le réseau de proxies cybercriminels SocksEscort. Ce service, alimenté par le malware AVRecon infectant des appareils basés sur Linux, fournissait aux cybercriminels un accès à des adresses IP compromises. L'opération a abouti à la saisie de domaines, de serveurs et d'actifs en cryptomonnaies.
Le démantèlement du réseau de proxies SocksEscort a eu lieu le 12 mars 2026, impliquant une coordination entre les autorités américaines, les forces de l'ordre européennes et des entités privées comme Lumen’s Black Lotus Labs (BLL). nnSocksEscort a fonctionné pendant plus d'une décennie, documenté pour la première fois par BLL en 2023. Il reposait exclusivement sur des dispositifs edge compromis par le malware AVRecon, qui visait les routeurs small office/home office (SOHO) basés sur Linux. AVRecon est actif depuis au moins mai 2021 et a infecté plus de 70 000 de ces appareils à la mi-2023. Le réseau maintenait en moyenne 20 000 appareils infectés par semaine ces dernières années, avec plus de la moitié situés aux États-Unis et au Royaume-Uni. nnDepuis l'été 2020, SocksEscort offrait un accès à environ 369 000 adresses IP différentes, annoncées comme « propres » provenant de grands FAI incluant Comcast, Spectrum, Spectrum Business, Verizon et Charter. Ces adresses pouvaient contourner plusieurs listes de blocage. En février 2026, le service listait environ 8 000 routeurs infectés disponibles pour l'accès des clients, dont 2 500 aux États-Unis. nnLe Département de la Justice des États-Unis (DOJ) a mis en lumière le rôle du réseau dans des crimes spécifiques : il a facilité le vol de 1 million de dollars en cryptomonnaies à un utilisateur de New York, permis 700 000 dollars de pertes en escroquant une entreprise manufacturière basée en Pennsylvanie, et causé 100 000 dollars de dommages par fraude affectant des militaires américains actuels et anciens utilisant des cartes MILITARY STAR. nnDans le cadre de l'opération, les autorités européennes en Autriche, en France et aux Pays-Bas, coordonnées par Europol, ont saisi 34 domaines et 23 serveurs dans sept pays. Les États-Unis ont gelé 3,5 millions de dollars en cryptomonnaies. Tous les appareils infectés connectés à SocksEscort ont désormais été déconnectés du service. nnLes efforts antérieurs de Lumen en 2023 ont perturbé AVRecon en null-routing son infrastructure de commande et de contrôle, mais les opérateurs ont ensuite restauré la fonctionnalité en utilisant 15 de ces nœuds. Depuis le début de 2025, BLL a observé 280 000 adresses IP uniques de victimes liées exclusivement à ce malware pour étendre SocksEscort.
