### SocksEscortの手口 **米国司法省（DoJ）**によると、SocksEscortは家庭用および中小企業向けのインターネットルーターにマルウェアを感染させ、事実上ボットネットに組み込んでいました。これにより、SocksEscortは侵害されたルーターを通じてインターネットトラフィックをリダイレクトし、顧客にオンライン活動を隠蔽する手段を提供していました。 「socksescort[.]com」ドメインで運営されていたこのサービスは、2020年夏以降、163カ国にわたる約369,000のユニークIPアドレスへのアクセスを提供していたと報告されています。2026年2月現在、このサービスは約8,000台の感染ルーターをリストアップしており、そのうち2,500台は米国にありました。 SocksEscortは、「静的住宅IPと無制限帯域幅」を提供し、スパムブロックリストを回避できると宣伝していました。料金は、月額15ドルで30プロキシ、月額200ドルで5,000プロキシのパッケージなどがありました。 ### 侵害されたルーターの影響 SocksEscortのようなサービスの主な機能は、悪意のある攻撃者が自身の実際のIPアドレスと場所を隠蔽できるようにし、悪意のあるトラフィックと正当な活動を区別することを困難にすることです。この難読化は、さまざまなサイバー犯罪を助長します。 SocksEscortを通じて行われた詐欺の被害者には、ニューヨークの仮想通貨取引所の顧客（100万ドルを失った）、ペンシルベニア州の製造業（70万ドルを詐取された）、およびMILITARY STARカードを使用して10万ドルを騙し取られた米軍関係者が含まれます。 ### Operation Lightning：連携された対応 **Europol**は、**Operation Lightning**にはオーストリア、ブルガリア、フランス、ドイツ、ハンガリー、オランダ、ルーマニア、米国の当局が関与したと発表しました。この作戦により、7カ国にわたる34のドメインと23のサーバーがテイクダウンされ、350万ドルの仮想通貨が凍結されました。  Europolは、侵害されたデバイス、主に家庭用ルーターが、ransomware攻撃、DDoS攻撃、および児童性的虐待資料（CSAM）の配布を容易にするために悪用されていたと述べています。デバイスは、特定のブランドの家庭用モデムの脆弱性を介して感染していました。 顧客は、匿名での仮想通貨購入を可能にする支払いプラットフォームを通じてプロキシサービスにアクセスしていました。このプラットフォームは、プロキシサービス顧客から500万ユーロ以上を受け取っていたと報告されています。 ### AVreconマルウェア：SocksEscortの背後にあるエンジン SocksEscortは、2023年7月に**Lumen Black Lotus Labs**によって公に文書化された**AVrecon**マルウェアによって駆動されていましたが、少なくとも2021年5月から活動していたと考えられています。このサービスは、2025年初頭以降、280,000の異なるIPアドレスを被害に遭わせたと推定されています。 AVreconは、感染したデバイスをSocksEscortの住宅用プロキシに変えるだけでなく、攻撃者が制御するサーバーへのリモートシェルを確立し、任意のペイロードをダウンロードして実行するローダーとしても機能します。このマルウェアは、**Cisco**、**D-Link**、**Hikvision**、**Mikrotik**、**NETGEAR**、**TP-Link**、**Zyxel**によって製造された約1,200のデバイスモデルを標的としています。 **NETGEAR**の広報担当者は、同社のデバイスの一部が2016年のボットネット活動の初期段階で標的になったものの、同社は迅速に是正措置を講じ、それ以降同社の機器が悪用された兆候はないと述べています。 **米国連邦捜査局（FBI）**は、AVreconの感染の大部分は、Remote Code Execution（RCE）やコマンドインジェクションなどのクリティカルな脆弱性を使用する小規模オフィス/ホームオフィス（SOHO）ルーターで発生していると指摘しています。AVreconはC言語で書かれており、主にMIPSおよびARMデバイスを標的としています。 永続性を維持するために、攻撃者はデバイスの組み込みアップデートメカニズムを使用して、AVreconのコピーを含むカスタムファームウェアイメージをフラッシュします。このファームウェアは、デバイス起動時に実行されるようにハードコードされています。この変更されたファームウェアは、デバイスのアップデートおよびフラッシュ機能も無効にし、デバイスを永久に感染させます。 Black Lotus Labsは、犯罪者専用に販売され、侵害されたエッジデバイスのみで構成されるボットネットがもたらす重大な脅威を強調しました。SocksEscortは、週平均約20,000のユニークな被害者を維持し、通信は平均15のコマンド・アンド・コントロール（C2）ノードを経由してルーティングされていました。