Am 11. März 2026 setzte eine koordinierte Aktion namens Operation Lightning den Aktivitäten des illegalen Proxy-Dienstes SocksEscort ein Ende. Unter der Führung der Behörden mehrerer Länder, darunter Frankreich, und mit Unterstützung von Europol und Eurojust ermöglichte diese Offensive die Zerschlagung einer globalen Cyberkriminalitätsinfrastruktur.

Nach Angaben von Europol wurden in sieben verschiedenen Ländern 34 Domains beschlagnahmt und 23 Server offline geschaltet, während die Vereinigten Staaten Kryptowährungen im Gegenwert von 3,5 Millionen US-Dollar einfroren.

Heimrouter wurden zu Zombies

Die Vorgehensweise von SocksEscort stützte sich auf Malware namens AVrecon. Diese Linux-Malware ist seit mindestens 2019 aktiv und zielt speziell auf Schwachstellen in Heimroutern und verbundenen Objekten (IoT) ab. Nach der Infektion wurden diese Geräte, ohne dass ihre Besitzer davon wussten, Teil eines riesigen Botnetzes.

Der Dienst verkaufte dann den Zugriff auf diese kompromittierten Geräte. Kunden von SocksEscort konnten private IP-Adressen mieten, um ihren wahren Standort zu verschleiern und verschiedene illegale Aktivitäten durchzuführen, darunter DDoS- und Ransomware-Angriffe sowie die Verbreitung von Kinderpornografie.

Proxy-Dienste wie SocksEscort bieten Kriminellen die digitale Deckung, die sie benötigen, um Angriffe zu starten und der Entdeckung zu entgehen „, erklärt Catherine De Boll, die Chefin von Europol.

Wie groß war dieses cyberkriminelle Netzwerk?

Berichten zufolge hat SocksEscort im Jahr 2020 Zugriff auf fast 369.000 verschiedene IP-Adressen (Router und IoT) in 163 Ländern angeboten. Die im Juni 2025 eingeleitete Untersuchung ergab, dass die zugehörige Zahlungsplattform Bitsidy.comDas von denselben Personen verwaltete Unternehmen hätte von den Kunden des Dienstes mehr als 5 Millionen Euro erhalten.

Laut einer Pressemitteilung der Pariser Staatsanwaltschaft (PDF) behauptete SocksEscort auf seiner Website Anfang März rund 35.915 Bevollmächtigte in 102 Ländern, darunter 454 in Frankreich, 14.720 in den USA, 5.317 im Vereinigten Königreich und 695 in Italien.

Das US-Justizministerium hat die Nutzung dieses Netzwerks mit erheblichem finanziellen Schaden in Verbindung gebracht, darunter den Diebstahl von Kryptowährungen im Wert von einer Million US-Dollar von einem New Yorker Benutzer und einen Betrug im Wert von 700.000 US-Dollar gegen ein Produktionsunternehmen in Pennsylvania.

Eine Million Modems wurden von SocksEscort getrennt

Mit der Demontage der Infrastruktur von SocksEscort wurden infizierte Router vom cyberkriminellen Dienst getrennt. Die Zahl beträgt eine Million infizierter Modems wird erwähnt. Das FBI gibt eine Warnung zu AVrecon-Malware (PDF) heraus und listet die Gerätemodelle auf, die am stärksten von der Infektion betroffen sind.