米国と欧州の法執行機関が、民間パートナーの支援を受けて、サイバー犯罪プロキシネットワークのSocksEscortを解体した。このサービスは、Linuxベースのデバイスを感染させるAVReconマルウェアによって駆動され、サイバー犯罪者に侵害されたIPアドレスのアクセスを提供していた。この作戦により、ドメイン、サーバー、暗号通貨資産が押収された。
SocksEscortプロキシネットワークの解体は、2026年3月12日に発生し、米国当局、欧州法執行機関、およびLumenのBlack Lotus Labs (BLL)などの民間団体の調整を伴ったものだった。nnSocksEscortは10年以上にわたり運営され、2023年にBLLによって最初に文書化された。それはAVReconマルウェアによって侵害されたエッジデバイスに独占的に依存しており、このマルウェアはLinuxベースの小規模オフィス/在宅オフィス(SOHO)ルーターを標的としていた。AVReconは少なくとも2021年5月以来活動しており、2023年半ばまでに7万台以上のこうしたデバイスを感染させた。このネットワークは近年、週平均2万台の感染デバイスを維持しており、その半数以上が米国と英国に所在していた。nn2020年夏以降、SocksEscortはComcast、Spectrum、Spectrum Business、Verizon、Charterなどの主要ISPから「クリーン」と宣伝された約369,000の異なるIPアドレスへのアクセスを提供していた。これらのアドレスは複数のブロックリストを回避できた。2026年2月時点で、このサービスは顧客アクセス可能な約8,000台の感染ルーターをリストしており、そのうち2,500台が米国にあった。nn米国司法省(DOJ)は、このネットワークが特定の犯罪に果たした役割を強調した。それはニューヨークの利用者から100万ドルの暗号通貨を盗み、ペンシルベニア州の製造業ビジネスを詐欺で70万ドルの損失を被せ、MILITARY STARカードを使用する現役および元米軍人に対する詐欺で10万ドルの損害を引き起こした。nnこの作戦では、Europolが調整したオーストリア、フランス、オランダの欧州当局が、7カ国にわたる34のドメインと23のサーバーを押収した。米国は350万ドルの暗号通貨を凍結した。SocksEscortに接続されていたすべての感染デバイスは現在、サービスから切断されている。nnLumenは2023年にAVReconを混乱させるため、そのコマンド・アンド・コントロールインフラをnullルーティングすることで早期の取り組みを行ったが、オペレーターは後に15のそのようなノードを使用して機能を回復した。2025年初頭以降、BLLはSocksEscortの拡大のためにこのマルウェアだけに関連する28万のユニークな被害者IPアドレスを観測した。