Agências de segurança dos Estados Unidos e da Europa, em parceria com empresas privadas, desmantelaram a rede de proxies maliciosos SocksEscort, que operava exclusivamente a partir de dispositivos de borda infectados pelo malware AVRecon para Linux.
De acordo com o Black Lotus Labs (BLL), divisão da Lumen que colaborou com o Departamento de Justiça dos EUA na ação, o SocksEscort mantinha uma média constante de 20 mil dispositivos infectados por semana nos últimos anos.
Identificada pela primeira vez em 2023 pelos pesquisadores do BLL, a rede funcionava há mais de uma década, oferecendo a criminosos cibernéticos um serviço de roteamento de tráfego por meio de dispositivos residenciais e de pequenas empresas.
O serviço prometia acesso a endereços IP “limpos” de grandes provedores, como Comcast, Spectrum, Verizon e Charter, capazes de driblar múltiplas listas de bloqueio.
“Desde o verão de 2020, o SocksEscort disponibilizou para venda acesso a cerca de 369 mil endereços IP diferentes”, informou o Departamento de Justiça dos EUA em comunicado recente.
Em fevereiro de 2026, o aplicativo da rede listava aproximadamente 8 mil roteadores infectados para acesso dos clientes, sendo 2,5 mil deles localizados nos Estados Unidos.
Segundo o DOJ, o SocksEscort foi usado para roubar cerca de US$ 1 milhão em criptomoedas de um usuário em Nova York, causou prejuízos de US$ 700 mil a uma indústria da Pensilvânia e provocou danos estimados em US$ 100 mil em fraudes contra militares atuais e veteranos portadores dos cartões MILITARY STAR.
Na Europa, autoridades da Áustria, França e Holanda, coordenadas pela Europol, derrubaram diversos servidores usados pela rede.
No total, foram desativados 34 domínios e 23 servidores distribuídos em sete países.
Os EUA também congelaram US$ 3,5 milhões em criptomoedas vinculados à operação.
Atualmente, todos os dispositivos comprometidos na rede SocksEscort foram desconectados do serviço.
O malware AVRecon, que alimentava a rede, está ativo pelo menos desde maio de 2021 e infectou mais de 70 mil roteadores Linux de pequenos escritórios e residências até meados de 2023.
Em 2023, a Lumen conseguiu interromper temporariamente a botnet AVRecon bloqueando sua infraestrutura de comando e controle (C2), isolando os dispositivos infectados de seus operadores e tornando a rede inoperante dentro da estrutura da empresa.
Porém, o impacto foi limitado, e os criminosos restabeleceram as operações, utilizando 15 novos servidores C2 para controlar a rede.
Representantes da Lumen informaram que o SocksEscort utilizava exclusivamente o malware AVRecon para expandir seus nós e que, desde o início de 2025, foram registrados 280 mil endereços IP únicos de vítimas.
Os pesquisadores acreditam que o AVRecon foi usado apenas para o crescimento da rede SocksEscort, já que os IPs comprometidos não foram detectados em outras botnets ou serviços.
Além disso, a infraestrutura de comando e controle permaneceu oculta, apesar do caráter de grande escala da operação.
Mais da metade dos dispositivos infectados estavam localizados nos Estados Unidos e no Reino Unido, regiões estratégicas para o roteamento de tráfego malicioso e para evitar bloqueios.
Na mesma semana, o Black Lotus Labs também revelou a existência do botnet KadNap, que ataca principalmente roteadores ASUS e outros dispositivos de borda.
Desde agosto de 2025, o KadNap infectou cerca de 14 mil aparelhos, explorando um mecanismo inovador – porém vulnerável – para comunicação e descoberta de pares, baseado no protocolo Kademlia Distributed Hash Table (DHT).
A Lumen agiu contra o KadNap bloqueando o tráfego em sua rede destinado à infraestrutura C2 do botnet, impedindo a comunicação dos dispositivos infectados com seus controladores.
Para reduzir o risco de ataques a roteadores, especialistas recomendam substituir modelos sem suporte, manter o firmware sempre atualizado, alterar as senhas padrão de administrador e desativar o acesso remoto quando não for necessário.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...