Badan penegak hukum dari Amerika Serikat dan Eropa, didukung mitra swasta, telah membongkar jaringan proxy kejahatan siber SocksEscort. Layanan ini, yang digerakkan oleh malware AVRecon yang menginfeksi perangkat berbasis Linux, menyediakan akses bagi penjahat siber ke alamat IP yang dikompromikan. Operasi tersebut menghasilkan penyitaan domain, server, dan aset kripto.
Pembongkaran jaringan proxy SocksEscort terjadi pada 12 Maret 2026, melibatkan koordinasi antara otoritas AS, penegak hukum Eropa, dan entitas swasta seperti Lumen’s Black Lotus Labs (BLL). Lumen’s Black Lotus Labs (BLL) pertama kali mendokumentasikan SocksEscort pada 2023. Ia bergantung sepenuhnya pada perangkat tepi yang dikompromikan oleh malware AVRecon, yang menargetkan router small office/home office (SOHO) berbasis Linux. AVRecon telah aktif sejak setidaknya Mei 2021 dan menginfeksi lebih dari 70.000 perangkat semacam itu hingga pertengahan 2023. Jaringan tersebut mempertahankan rata-rata 20.000 perangkat terinfeksi setiap minggu dalam beberapa tahun terakhir, dengan lebih dari separuhnya berada di Amerika Serikat dan Inggris Raya. Sejak musim panas 2020, SocksEscort menawarkan akses ke sekitar 369.000 alamat IP berbeda, diiklankan sebagai “clean” dari ISP besar termasuk Comcast, Spectrum, Spectrum Business, Verizon, dan Charter. Alamat-alamat ini dapat menghindari berbagai blocklist. Per Februari 2026, layanan tersebut mencantumkan sekitar 8.000 router terinfeksi yang tersedia untuk akses pelanggan, termasuk 2.500 di Amerika Serikat. Kementerian Kehakiman AS (DOJ) menyoroti peran jaringan tersebut dalam kejahatan spesifik: ia memfasilitasi pencurian US$1 juta kripto dari pengguna New York, menyebabkan kerugian US$700.000 akibat penipuan terhadap bisnis manufaktur berbasis Pennsylvania, dan menimbulkan kerusakan US$100.000 melalui penipuan yang memengaruhi personel dinas AS aktif dan mantan yang menggunakan kartu MILITARY STAR. Dalam operasi tersebut, otoritas Eropa di Austria, Prancis, dan Belanda yang dikoordinasikan oleh Europol menyita 34 domain dan 23 server di tujuh negara. AS membekukan US$3,5 juta kripto. Semua perangkat terinfeksi yang terhubung ke SocksEscort kini telah diputuskan dari layanan tersebut. Upaya awal Lumen pada 2023 mengganggu AVRecon dengan null-routing infrastruktur command-and-control-nya, tetapi operator kemudian memulihkan fungsionalitas menggunakan 15 node semacam itu. Sejak awal 2025, BLL mengamati 280.000 alamat IP korban unik yang terkait hanya dengan malware ini untuk memperluas SocksEscort.
