### Modus Operandi de SocksEscort Según el **Departamento de Justicia de EE. UU. (DoJ)**, SocksEscort infectó routers de internet de hogares y pequeñas empresas con malware, esclavizándolos efectivamente en una botnet. Esto permitió a SocksEscort redirigir el tráfico de internet a través de los routers comprometidos, ofreciendo a sus clientes una forma de enmascarar sus actividades en línea. El servicio, que operaba bajo el dominio "socksescort[.]com", supuestamente proporcionó acceso a aproximadamente 369.000 direcciones IP únicas en 163 países desde el verano de 2020. Hasta febrero de 2026, el servicio listaba casi 8.000 routers infectados, con 2.500 ubicados en EE. UU. SocksEscort se promocionaba ofreciendo "IP residenciales estáticas con ancho de banda ilimitado", capaces de eludir listas de bloqueo de spam. Los precios oscilaban entre $15 por mes por 30 proxies y $200 por mes por un paquete de 5.000. ### El Impacto de los Routers Comprometidos La función principal de servicios como SocksEscort es permitir a los actores maliciosos ocultar sus direcciones IP y ubicaciones reales, lo que dificulta distinguir el tráfico malicioso de la actividad legítima. Esta ofuscación facilita una variedad de ciberdelitos. Entre las víctimas de fraude perpetrado a través de SocksEscort se encuentran un cliente de una bolsa de criptomonedas en Nueva York que perdió $1 millón, una empresa manufacturera de Pensilvania defraudada con $700.000, y miembros del servicio de EE. UU. que fueron estafados con $100.000 utilizando tarjetas MILITARY STAR. ### Operación Lightning: Una Respuesta Coordinada **Europol** anunció que la **Operación Lightning** involucró a autoridades de Austria, Bulgaria, Francia, Alemania, Hungría, Países Bajos, Rumania y EE. UU. La operación llevó a la desarticulación de 34 dominios y 23 servidores en siete países y a la congelación de $3.5 millones en criptomonedas.  Europol declaró que los dispositivos comprometidos, principalmente routers residenciales, fueron explotados para facilitar ataques de ransomware, ataques DDoS y la distribución de material de abuso sexual infantil (CSAM). Los dispositivos fueron infectados a través de una vulnerabilidad en módems residenciales de una marca específica. Los clientes accedían al servicio proxy a través de una plataforma de pago que permitía compras anónimas de criptomonedas. La plataforma supuestamente recibió más de 5 millones de euros de clientes del servicio proxy. ### Malware AVrecon: El Motor Detrás de SocksEscort SocksEscort estaba impulsado por el malware **AVrecon**, documentado públicamente por **Lumen Black Lotus Labs** en julio de 2023, pero se cree que está activo desde al menos mayo de 2021. Se estima que el servicio ha victimizado a 280.000 direcciones IP distintas desde principios de 2025. AVrecon no solo convierte los dispositivos infectados en proxies residenciales de SocksEscort, sino que también establece un shell remoto a un servidor controlado por el atacante y actúa como un cargador, descargando y ejecutando payloads arbitrarios. El malware se dirige a aproximadamente 1.200 modelos de dispositivos fabricados por **Cisco**, **D-Link**, **Hikvision**, **Mikrotik**, **NETGEAR**, **TP-Link** y **Zyxel**. Un portavoz de **NETGEAR** declaró que, si bien algunos de sus dispositivos fueron objetivo en las primeras etapas de la actividad de la botnet en 2016, la empresa implementó rápidamente esfuerzos de remediación, y no hay indicios de que su equipo haya sido explotado desde entonces. El **FBI de EE. UU.** señaló que la mayoría de las infecciones de AVrecon ocurren en routers de oficina pequeña/hogar (SOHO) que utilizan vulnerabilidades críticas como Ejecución Remota de Código (RCE) e inyección de comandos. AVrecon está escrito en lenguaje C y se dirige principalmente a dispositivos MIPS y ARM. Para mantener la persistencia, los atacantes utilizan el mecanismo de actualización integrado del dispositivo para flashear una imagen de firmware personalizada que contiene una copia de AVrecon, la cual está codificada para ejecutarse al inicio del dispositivo. Este firmware modificado también deshabilita las funciones de actualización y flasheo del dispositivo, infectando permanentemente los dispositivos. Black Lotus Labs enfatizó la amenaza significativa que representa la botnet, comercializada exclusivamente para criminales y compuesta únicamente por dispositivos de borde comprometidos. SocksEscort mantuvo un tamaño promedio de aproximadamente 20.000 víctimas distintas semanalmente, con comunicaciones enrutadas a través de un promedio de 15 nodos de comando y control (C2).