### Le modus operandi de SocksEscort Selon le **U.S. Department of Justice (DoJ)**, SocksEscort infectait les routeurs internet domestiques et des petites entreprises avec des malwares, les asservissant ainsi en botnet. Cela permettait à SocksEscort de rediriger le trafic internet à travers les routeurs compromis, offrant à ses clients un moyen de masquer leurs activités en ligne. Le service, opérant sous le domaine "socksescort[.]com", aurait fourni un accès à environ 369 000 adresses IP uniques dans 163 pays depuis l'été 2020. En février 2026, le service listait près de 8 000 routeurs infectés, dont 2 500 situés aux États-Unis. SocksEscort se commercialisait en proposant des "IP résidentielles statiques avec bande passante illimitée", capables de contourner les listes de blocage de spam. Les prix variaient de 15 $ par mois pour 30 proxys à 200 $ par mois pour un package de 5 000. ### L'impact des routeurs compromis La fonction principale des services comme SocksEscort est de permettre aux acteurs malveillants de dissimuler leurs véritables adresses IP et leurs emplacements, rendant difficile la distinction entre le trafic malveillant et l'activité légitime. Cette obfuscation facilite une série de cybercrimes. Parmi les victimes de fraudes perpétrées via SocksEscort figurent un client d'une plateforme d'échange de cryptomonnaies à New York qui a perdu 1 million de dollars, une entreprise manufacturière de Pennsylvanie escroquée de 700 000 dollars, et des militaires américains qui ont été escroqués de 100 000 dollars en utilisant des cartes MILITARY STAR. ### Opération Lightning : une réponse coordonnée **Europol** a annoncé que l'**Opération Lightning** impliquait des autorités d'Autriche, de Bulgarie, de France, d'Allemagne, de Hongrie, des Pays-Bas, de Roumanie et des États-Unis. L'opération a conduit au démantèlement de 34 domaines et 23 serveurs dans sept pays, ainsi qu'au gel de 3,5 millions de dollars en cryptomonnaies.  Europol a déclaré que les appareils compromis, principalement des routeurs résidentiels, étaient exploités pour faciliter des attaques de ransomware, des attaques DDoS et la distribution de matériel d'abus sexuel sur enfants (CSAM). Les appareils étaient infectés via une vulnérabilité dans les modems résidentiels d'une marque spécifique. Les clients accédaient au service proxy via une plateforme de paiement permettant des achats anonymes en cryptomonnaies. La plateforme aurait reçu plus de 5 millions d'euros de la part des clients du service proxy. ### Le malware AVrecon : le moteur derrière SocksEscort SocksEscort était alimenté par le malware **AVrecon**, documenté publiquement par **Lumen Black Lotus Labs** en juillet 2023, mais actif depuis au moins mai 2021. Le service aurait victimisé 280 000 adresses IP distinctes depuis début 2025. AVrecon transforme non seulement les appareils infectés en proxys résidentiels SocksEscort, mais établit également un shell distant vers un serveur contrôlé par l'attaquant et agit comme un chargeur, téléchargeant et exécutant des payloads arbitraires. Le malware cible environ 1 200 modèles d'appareils fabriqués par **Cisco**, **D-Link**, **Hikvision**, **Mikrotik**, **NETGEAR**, **TP-Link** et **Zyxel**. Un porte-parole de **NETGEAR** a déclaré que bien que certains de ses appareils aient été ciblés aux premiers stades de l'activité du botnet en 2016, l'entreprise a rapidement déployé des mesures correctives, et rien n'indique que son équipement ait été exploité depuis. Le **U.S. Federal Bureau of Investigation** a noté que la majorité des infections par AVrecon se produisent sur des routeurs SOHO (Small Office/Home Office) utilisant des vulnérabilités critiques telles que l'exécution de code à distance (RCE) et l'injection de commandes. AVrecon est écrit en langage C et cible principalement les appareils MIPS et ARM. Pour maintenir la persistance, les attaquants utilisent le mécanisme de mise à jour intégré de l'appareil pour flasher une image de firmware personnalisée contenant une copie d'AVrecon, qui est codée en dur pour s'exécuter au démarrage de l'appareil. Ce firmware modifié désactive également les fonctionnalités de mise à jour et de flashage de l'appareil, infectant ainsi les appareils de manière permanente. Black Lotus Labs a souligné la menace importante que représente le botnet, commercialisé exclusivement auprès des criminels et composé uniquement d'appareils périphériques compromis. SocksEscort maintenait une taille moyenne d'environ 20 000 victimes distinctes par semaine, avec des communications acheminées via une moyenne de 15 nœuds de commande et de contrôle (C2).