Agências de aplicação da lei dos Estados Unidos e da Europa, apoiadas por parceiros privados, desmantelaram a rede de proxies cibercriminosa SocksEscort. Este serviço, impulsionado pelo malware AVRecon que infecta dispositivos baseados em Linux, fornecia aos cibercriminosos acesso a endereços IP comprometidos. A operação resultou na apreensão de domínios, servidores e ativos em criptomoedas.
O desmantelamento da rede de proxies SocksEscort ocorreu em 12 de março de 2026, envolvendo coordenação entre autoridades dos EUA, forças policiais europeias e entidades privadas como os Black Lotus Labs (BLL) da Lumen. SocksEscort operou por mais de uma década, documentada pela primeira vez pela BLL em 2023. Ela dependia exclusivamente de dispositivos de borda comprometidos pelo malware AVRecon, que visava roteadores SOHO (small office/home office) baseados em Linux. O AVRecon está ativo desde pelo menos maio de 2021 e infectou mais de 70.000 desses dispositivos até meados de 2023. A rede manteve uma média de 20.000 dispositivos infectados semanalmente nos últimos anos, com mais da metade localizados nos Estados Unidos e no Reino Unido. Desde o verão de 2020, o SocksEscort oferecia acesso a aproximadamente 369.000 endereços IP diferentes, anunciados como “clean” de grandes provedores de serviços de internet, incluindo Comcast, Spectrum, Spectrum Business, Verizon e Charter. Esses endereços podiam evadir múltiplas listas de bloqueio. Em fevereiro de 2026, o serviço listava cerca de 8.000 roteadores infectados disponíveis para acesso de clientes, incluindo 2.500 nos Estados Unidos. O Departamento de Justiça dos EUA (DOJ) destacou o papel da rede em crimes específicos: facilitou o roubo de 1 milhão de dólares em criptomoedas de um usuário de Nova Iorque, provocou 700.000 dólares em perdas ao defraudar uma empresa de manufatura sediada na Pensilvânia e causou 100.000 dólares em danos por meio de fraude que afetou militares atuais e antigos dos EUA que usam cartões MILITARY STAR. Na operação, autoridades europeias na Áustria, França e Países Baixos, coordenadas pela Europol, apreenderam 34 domínios e 23 servidores em sete países. Os EUA congelaram 3,5 milhões de dólares em criptomoedas. Todos os dispositivos infectados conectados ao SocksEscort foram agora desconectados do serviço. Esforços anteriores da Lumen em 2023 desmantelaram o AVRecon ao neutralizar sua infraestrutura de comando e controle por null-routing, mas os operadores restauraram a funcionalidade mais tarde usando 15 desses nós. Desde o início de 2025, a BLL observou 280.000 endereços IP únicos de vítimas ligados exclusivamente a este malware para expandir o SocksEscort.
