Een door de rechtbank geautoriseerde internationale wetshandhavingsoperatie heeft een criminele proxy-service ontmanteld SokkenEscort die wereldwijd duizenden residentiële routers tot slaaf maakte in een botnet vanwege het plegen van grootschalige fraude.
“SocksEscort heeft internetrouters voor thuis en kleine bedrijven geïnfecteerd met malware”, aldus het Amerikaanse ministerie van Justitie (DoJ). “Dankzij de malware kon SocksEscort internetverkeer via de geïnfecteerde routers leiden. SocksEscort verkocht deze toegang aan zijn klanten.”
SocksEscort (“socksescort(.)com”) zou sinds de zomer van 2020 hebben aangeboden toegang te verkopen tot ongeveer 369.000 verschillende IP-adressen in 163 landen, waarbij de dienst in februari 2026 bijna 8.000 geïnfecteerde routers vermeldde. Hiervan bevonden zich 2.500 in de VS.
Vanaf december 2025 beweerde de website van SocksEscort “statische residentiële IP’s met onbeperkte bandbreedte” aan te bieden en dat ze spamblokkeerlijsten kunnen omzeilen. Er werd geadverteerd voor meer dan 35.900 proxy’s uit 102 landen, waarbij een set van 30 proxy’s $ 15 per maand kostte. Een pakket voor 5.000 proxy’s kostte $ 200 per maand.
Het einddoel van diensten als SocksEscort is om betalende klanten in staat te stellen internetverkeer door gecompromitteerde apparaten te tunnelen zonder medeweten van het slachtoffer, waardoor ze een manier krijgen om op te vallen en het moeilijker wordt om kwaadaardig verkeer te onderscheiden van legitieme activiteiten door hun echte IP-adressen en locaties te verbergen.
Tot de slachtoffers die werden opgelicht als onderdeel van plannen die met SocksEscort werden uitgevoerd, behoorde een klant van een cryptocurrency-uitwisseling die in New York woonde en werd opgelicht voor $ 1 miljoen aan cryptocurrency; een productiebedrijf in Pennsylvania dat voor 700.000 dollar werd opgelicht; en huidige en voormalige Amerikaanse militairen met MILITARY STAR-kaarten die voor $ 100.000 zijn opgelicht.
In een gecoördineerde aankondiging zei Europol dat bij de inspanning, met de codenaam Operatie Lightning, autoriteiten uit Oostenrijk, Bulgarije, Frankrijk, Duitsland, Hongarije, Nederland, Roemenië en de VS betrokken waren. De verstoringsoefening heeft geresulteerd in de verwijdering van 34 domeinen en 23 servers in zeven landen. In totaal is voor $3,5 miljoen aan cryptocurrency bevroren.
“Deze apparaten, voornamelijk residentiële routers, werden uitgebuit om verschillende criminele activiteiten mogelijk te maken, waaronder ransomware, DDoS-aanvallen en de verspreiding van materiaal over seksueel misbruik van kinderen (CSAM)”, aldus Europol. “De gecompromitteerde apparaten zijn geïnfecteerd via een kwetsbaarheid in de residentiële modems van een specifiek merk.”
“Om toegang te krijgen tot de proxydienst moesten klanten een betaalplatform gebruiken dat het mogelijk maakte om de dienst anoniem af te nemen met behulp van cryptocurrency. Er wordt geschat dat dit betaalplatform ruim 5 miljoen euro heeft ontvangen van klanten van de proxydienst.”
SocksEscort werd mogelijk gemaakt door een malware die bekend staat als AVrecon, waarvan de details in juli 2023 publiekelijk werden gedocumenteerd door Lumen Black Lotus Labs. Er wordt echter aangenomen dat het actief is sinds ten minste mei 2021. De proxyservice heeft naar schatting vanaf begin 2025 280.000 verschillende IP-adressen het slachtoffer gemaakt.
Naast het veranderen van een geïnfecteerd apparaat in een residentiële SocksEscort-proxy, is AVrecon uitgerust om een externe shell op te zetten voor een door een aanvaller bestuurde server en als lader te fungeren door willekeurige payloads te downloaden en uit te voeren. De malware richt zich op ongeveer 1.200 apparaatmodellen vervaardigd door Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link en Zyxel.
“De overgrote meerderheid van de waargenomen apparaten die zijn geïnfecteerd met AVrecon-malware zijn routers voor kleine kantoren/thuiskantoren die zijn geïnfecteerd met kritieke kwetsbaarheden zoals Remote Code Execution (RCE) en commando-injectie”, aldus het Amerikaanse Federal Bureau of Investigation in een waarschuwing. “AVrecon-malware is geschreven in de C-taal en richt zich voornamelijk op MIPS- en ARM-apparaten.”
Om persistentie te bereiken, is geobserveerd dat de bedreigingsactoren het ingebouwde updatemechanisme van het apparaat gebruikten om een aangepaste firmware-image te flashen met daarin een kopie van AVrecon, die hardgecodeerd is om deze uit te voeren bij het opstarten van het apparaat. De gewijzigde firmware schakelt ook de update- en flashfuncties van het apparaat uit, waardoor de apparaten permanent worden geïnfecteerd.
“Dit botnet vormde een aanzienlijke bedreiging, omdat het exclusief op de markt werd gebracht voor criminelen en uitsluitend bestond uit gecompromitteerde edge-apparaten”, aldus het team van Black Lotus Labs. “De afgelopen jaren heeft SocksEscort een gemiddelde omvang van ongeveer 20.000 verschillende slachtoffers per week gehandhaafd, waarbij de communicatie via gemiddeld 15 command-and-control-knooppunten (C2’s) werd gerouteerd.”
