### SocksEscorts Vorgehensweise Laut dem **U.S. Department of Justice (DoJ)** infizierte SocksEscort private und kleine Unternehmens-Internetrouter mit Malware und machte sie effektiv zu einem Botnetz. Dies ermöglichte es SocksEscort, den Internetverkehr über die kompromittierten Router umzuleiten und seinen Kunden eine Möglichkeit zu bieten, ihre Online-Aktivitäten zu verschleiern. Der Dienst, der unter der Domain "socksescot[.]com" operierte, bot Berichten zufolge seit Sommer 2020 Zugang zu rund 369.000 eindeutigen IP-Adressen in 163 Ländern. Im Februar 2026 listete der Dienst fast 8.000 infizierte Router auf, davon 2.500 in den USA. SocksEscort vermarktete sich selbst mit "statischen privaten IPs mit unbegrenzter Bandbreite", die Spam-Blocklisten umgehen konnten. Die Preise reichten von 15 US-Dollar pro Monat für 30 Proxys bis zu 200 US-Dollar pro Monat für ein Paket von 5.000. ### Die Auswirkungen kompromittierter Router Die Hauptfunktion von Diensten wie SocksEscort besteht darin, böswilligen Akteuren zu ermöglichen, ihre tatsächlichen IP-Adressen und Standorte zu verbergen, was es schwierig macht, bösartigen Datenverkehr von legitimen Aktivitäten zu unterscheiden. Diese Verschleierung erleichtert eine Reihe von Cyberkriminalität. Zu den Opfern von Betrug, der über SocksEscort begangen wurde, gehören ein Kunde einer Kryptowährungsbörse in New York, der 1 Million US-Dollar verlor, ein produzierendes Unternehmen in Pennsylvania, das um 700.000 US-Dollar betrogen wurde, und US-Militärangehörige, die mit MILITARY STAR-Karten um 100.000 US-Dollar betrogen wurden. ### Operation Lightning: Eine koordinierte Reaktion **Europol** gab bekannt, dass an der **Operation Lightning** Behörden aus Österreich, Bulgarien, Frankreich, Deutschland, Ungarn, den Niederlanden, Rumänien und den USA beteiligt waren. Die Operation führte zur Abschaltung von 34 Domains und 23 Servern in sieben Ländern sowie zur Einfrierung von 3,5 Millionen US-Dollar in Kryptowährung.  Europol erklärte, dass die kompromittierten Geräte, hauptsächlich private Router, zur Erleichterung von ransomware-Angriffen, DDoS-Angriffen und der Verbreitung von kinderpornografischem Material (CSAM) missbraucht wurden. Die Geräte wurden über eine Schwachstelle in den privaten Modems einer bestimmten Marke infiziert. Kunden griffen über eine Zahlungsplattform auf den Proxy-Dienst zu, die anonyme Kryptowährungskäufe ermöglichte. Die Plattform erhielt Berichten zufolge über 5 Millionen Euro von Kunden des Proxy-Dienstes. ### AVrecon Malware: Die treibende Kraft hinter SocksEscort SocksEscort wurde von der **AVrecon**-Malware angetrieben, die im Juli 2023 von **Lumen Black Lotus Labs** öffentlich dokumentiert wurde, aber seit mindestens Mai 2021 aktiv ist. Der Dienst hat seit Anfang 2025 schätzungsweise 280.000 verschiedene IP-Adressen geschädigt. AVrecon verwandelt infizierte Geräte nicht nur in SocksEscort-Proxys für Privatanwender, sondern richtet auch eine Remote-Shell zu einem vom Angreifer kontrollierten Server ein und fungiert als Loader, der beliebige payloads herunterlädt und ausführt. Die Malware zielt auf rund 1.200 Gerätemodelle ab, die von **Cisco**, **D-Link**, **Hikvision**, **Mikrotik**, **NETGEAR**, **TP-Link** und **Zyxel** hergestellt werden. Ein **NETGEAR**-Sprecher erklärte, dass einige seiner Geräte in den frühen Phasen der Botnetz-Aktivität im Jahr 2016 ins Visier genommen wurden, das Unternehmen jedoch umgehend Abhilfemaßnahmen ergriffen habe und es keine Hinweise darauf gebe, dass seine Geräte seitdem ausgenutzt worden seien. Das **U.S. Federal Bureau of Investigation** stellte fest, dass die Mehrheit der AVrecon-Infektionen auf SOHO-Routern (Small-Office/Home-Office) auftritt, die kritische Schwachstellen wie Remote Code Execution (RCE) und Command Injection nutzen. AVrecon ist in der C-Sprache geschrieben und zielt hauptsächlich auf MIPS- und ARM-Geräte ab. Um die Persistenz aufrechtzuerhalten, nutzen Angreifer den integrierten Update-Mechanismus des Geräts, um ein benutzerdefiniertes Firmware-Image zu flashen, das eine Kopie von AVrecon enthält, die fest codiert ist, um beim Gerätestart ausgeführt zu werden. Diese modifizierte Firmware deaktiviert auch die Update- und Flash-Funktionen des Geräts und infiziert die Geräte dauerhaft. Black Lotus Labs betonte die erhebliche Bedrohung durch das Botnetz, das ausschließlich an Kriminelle vermarktet wurde und ausschließlich aus kompromittierten Edge-Geräten bestand. SocksEscort unterhielt eine durchschnittliche Größe von etwa 20.000 eindeutigen Opfern pro Woche, wobei die Kommunikation über durchschnittlich 15 Command-and-Control-Knoten (C2s) geleitet wurde.