Uma operação internacional autorizada pela Justiça desmantelou o serviço criminoso de proxy chamado SocksEscort, responsável por infectar milhares de roteadores residenciais ao redor do mundo, formando uma botnet usada em fraudes em larga escala.
De acordo com o Departamento de Justiça dos Estados Unidos (DoJ), o malware SocksEscort comprometia roteadores de residências e pequenas empresas, permitindo que o serviço direcionasse o tráfego de internet por meio desses dispositivos infectados, que posteriormente eram vendidos a clientes.
Desde o verão de 2020, o SocksEscort (site socksescort[.]com) ofereceu acesso a cerca de 369 mil endereços IP em 163 países, com quase 8 mil roteadores infectados listados em fevereiro de 2026, sendo 2,5 mil deles nos EUA.
O objetivo desse serviço é permitir que clientes pagos façam o túnel do tráfego de internet por meio de dispositivos comprometidos, ocultando o IP e a localização reais.
Isso dificulta a identificação do tráfego malicioso, que pode se mascarar como atividade legítima.
Entre as vítimas de golpes aplicados via SocksEscort estão um cliente de uma exchange de criptomoedas em Nova York, que perdeu US$ 1 milhão em criptoativos; uma indústria na Pensilvânia, lesada em US$ 700 mil; e membros atuais e antigos das forças armadas dos EUA, que tiveram prejuízos de US$ 100 mil com cartões MILITARY STAR.
A operação coordenada, batizada Operation Lightning, reuniu autoridades da Áustria, Bulgária, França, Alemanha, Hungria, Holanda, Romênia e EUA, conforme informou a Europol.
Foram desativados 34 domínios e 23 servidores em sete países, além do congelamento de US$ 3,5 milhões em criptomoedas.
A Europol destacou que os dispositivos — principalmente roteadores residenciais — foram usados para facilitar crimes como ataques de ransomware, negação de serviço (DDoS) e disseminação de material de abuso sexual infantil (CSAM).
A infecção ocorreu por vulnerabilidades em modems residenciais de uma marca específica.
Para adquirir acesso ao proxy, os clientes utilizavam uma plataforma de pagamentos que permitia compras anônimas com criptomoedas.
Estima-se que essa plataforma tenha movimentado mais de 5 milhões de euros.
O malware por trás do SocksEscort é o AVrecon, detalhado pela Lumen Black Lotus Labs em julho de 2023, mas ativo desde pelo menos maio de 2021.
O serviço teria afetado cerca de 280 mil endereços IP distintos desde o início de 2025.
Além de transformar dispositivos infectados em proxies residenciais do SocksEscort, o AVrecon pode abrir um shell remoto para servidores controlados pelos criminosos e funcionar como loader, baixando e executando cargas maliciosas arbitrárias.
O malware tem como alvo aproximadamente 1.200 modelos de dispositivos de marcas como Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link e Zyxel.
O FBI ressaltou que a maioria dos dispositivos infectados são roteadores Small Office/Home Office (SOHO), explorados por vulnerabilidades críticas, como Remote Code Execution (RCE) e injeção de comandos.
Escrito em C, o malware é projetado para dispositivos com arquiteturas MIPS e ARM.
Para garantir persistência, os criminosos usaram o sistema interno de atualização dos dispositivos para instalar firmwares personalizados com o AVrecon, carregado automaticamente na inicialização.
Esse firmware modificado também desativa as funções de atualização e flashing, tornando a infecção permanente.
Segundo a equipe da Black Lotus Labs, a botnet representava uma ameaça significativa por ser comercializada exclusivamente para criminosos e formada apenas por dispositivos finais comprometidos.
Nos últimos anos, o SocksEscort manteve em média 20 mil vítimas distintas por semana, comunicando-se por cerca de 15 servidores de comando e controle (C2).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...