Brottsbekämpande myndigheter från USA och Europa, med stöd från privata partners, har stängt ner SocksEscort cyberbrottsproxynätverk. Denna tjänst, som drevs av AVRecon-malware som infekterar Linux-baserade enheter, tillhandahöll cyberkriminella tillgång till komprometterade IP-adresser. Operationen resulterade i beslag av domäner, servrar och kryptovalutainnehav.
Nedstängningen av SocksEscort-proxynätverket skedde den 12 mars 2026 och involverade samordning mellan amerikanska myndigheter, europeiska brottsbekämpande organ och privata aktörer som Lumen’s Black Lotus Labs (BLL). SocksEscort var i drift i över ett decennium, först dokumenterat av BLL 2023. Det byggde uteslutande på edge-enheter som komprometterats av AVRecon-malware, som riktade sig mot Linux-baserade small office/home office (SOHO)-routrar. AVRecon har varit aktiv sedan åtminstone maj 2021 och infekterade fler än 70 000 sådana enheter fram till mitten av 2023. Nätverket upprätthöll ett genomsnitt på 20 000 infekterade enheter per vecka under de senaste åren, varav mer än hälften i USA och Storbritannien. Sedan sommaren 2020 erbjöd SocksEscort tillgång till cirka 369 000 olika IP-adresser, annonserade som ”rena” från stora ISP:er inklusive Comcast, Spectrum, Spectrum Business, Verizon och Charter. Dessa adresser kunde kringgå flera blocklistor. I februari 2026 listade tjänsten cirka 8 000 infekterade routrar tillgängliga för kundåtkomst, varav 2 500 i USA. USA:s justitiedepartement (DOJ) framhöll nätverkets roll i specifika brott: det underlättade stölden av 1 miljon dollar i kryptovaluta från en New York-användare, möjliggjorde förluster på 700 000 dollar genom bedrägeri mot ett tillverkningsföretag baserat i Pennsylvania och orsakade 100 000 dollar i skador genom bedrägeri som drabbade nuvarande och tidigare amerikanska militärer med MILITARY STAR-kort. Under operationen beslagtog europeiska myndigheter i Österrike, Frankrike och Nederländerna, koordinerade av Europol, 34 domäner och 23 servrar i sju länder. USA frös kryptovaluta för 3,5 miljoner dollar. Alla till SocksEscort anslutna infekterade enheter har nu kopplats bort från tjänsten. Lumens tidigare insatser 2023 störde AVRecon genom null-routing av dess command-and-control-infrastruktur, men operatörerna återupprättade senare funktionaliteten med 15 sådana noder. Sedan början av 2025 har BLL observerat 280 000 unika offer-IP-adresser kopplade enbart till denna malware för att utöka SocksEscort.
