### Modus Operandi do SocksEscort De acordo com o **Departamento de Justiça dos EUA (DoJ)**, o SocksEscort infectava roteadores de internet domésticos e de pequenas empresas com malware, escravizando-os efetivamente em uma botnet. Isso permitia que o SocksEscort redirecionasse o tráfego da internet através dos roteadores comprometidos, oferecendo aos seus clientes uma maneira de mascarar suas atividades online. O serviço, operando sob o domínio "socksescort[.]com", supostamente forneceu acesso a aproximadamente 369.000 endereços IP únicos em 163 países desde o verão de 2020. Em fevereiro de 2026, o serviço listava quase 8.000 roteadores infectados, com 2.500 localizados nos EUA. O SocksEscort se promovia oferecendo "IPs residenciais estáticos com largura de banda ilimitada", capazes de contornar listas de bloqueio de spam. Os preços variavam de US$ 15 por mês para 30 proxies a US$ 200 por mês para um pacote de 5.000. ### O Impacto dos Roteadores Comprometidos A principal função de serviços como o SocksEscort é permitir que atores maliciosos ocultem seus verdadeiros endereços IP e localizações, tornando difícil distinguir o tráfego malicioso da atividade legítima. Essa ofuscação facilita uma série de crimes cibernéticos. As vítimas de fraudes perpetradas através do SocksEscort incluem um cliente de exchange de criptomoedas em Nova York que perdeu US$ 1 milhão, uma empresa de manufatura da Pensilvânia defraudada em US$ 700.000, e militares dos EUA que foram enganados em US$ 100.000 usando cartões MILITARY STAR. ### Operação Lightning: Uma Resposta Coordenada A **Europol** anunciou que a **Operação Lightning** envolveu autoridades da Áustria, Bulgária, França, Alemanha, Hungria, Holanda, Romênia e EUA. A operação levou à desativação de 34 domínios e 23 servidores em sete países e ao congelamento de US$ 3,5 milhões em criptomoedas.  A Europol declarou que os dispositivos comprometidos, principalmente roteadores residenciais, foram explorados para facilitar ataques de ransomware, ataques DDoS e a distribuição de material de abuso sexual infantil (CSAM). Os dispositivos foram infectados através de uma vulnerabilidade em modems residenciais de uma marca específica. Os clientes acessavam o serviço de proxy através de uma plataforma de pagamento que permitia compras anônimas de criptomoedas. A plataforma supostamente recebeu mais de 5 milhões de euros de clientes do serviço de proxy. ### Malware AVrecon: O Motor por Trás do SocksEscort O SocksEscort era alimentado pelo malware **AVrecon**, documentado publicamente pelo **Lumen Black Lotus Labs** em julho de 2023, mas que se acredita estar ativo desde pelo menos maio de 2021. Estima-se que o serviço tenha vitimado 280.000 endereços IP distintos desde o início de 2025. O AVrecon não apenas transforma dispositivos infectados em proxies residenciais do SocksEscort, mas também estabelece um shell remoto para um servidor controlado pelo atacante e atua como um loader, baixando e executando payloads arbitrários. O malware tem como alvo aproximadamente 1.200 modelos de dispositivos fabricados por **Cisco**, **D-Link**, **Hikvision**, **Mikrotik**, **NETGEAR**, **TP-Link** e **Zyxel**. Um porta-voz da **NETGEAR** afirmou que, embora alguns de seus dispositivos tenham sido alvos nas fases iniciais da atividade da botnet em 2016, a empresa implementou prontamente esforços de remediação, e não há indicação de que seu equipamento tenha sido explorado desde então. O **FBI dos EUA** observou que a maioria das infecções por AVrecon ocorre em roteadores de pequeno escritório/home office (SOHO) que utilizam vulnerabilidades críticas como Execução Remota de Código (RCE) e injeção de comandos. O AVrecon é escrito na linguagem C e tem como alvo principalmente dispositivos MIPS e ARM. Para manter a persistência, os atacantes usam o mecanismo de atualização integrado do dispositivo para instalar uma imagem de firmware personalizada contendo uma cópia do AVrecon, que é codificada para executar na inicialização do dispositivo. Este firmware modificado também desabilita os recursos de atualização e instalação do dispositivo, infectando permanentemente os dispositivos. O Black Lotus Labs enfatizou a ameaça significativa representada pela botnet, comercializada exclusivamente para criminosos e composta unicamente por dispositivos de borda comprometidos. O SocksEscort manteve um tamanho médio de aproximadamente 20.000 vítimas distintas semanalmente, com comunicações roteadas através de uma média de 15 nós de comando e controle (C2s).