Se congelaron un total de 3,5 millones de dólares en criptomonedas
Una operación de cumplimiento de la ley internacional autorizada por un tribunal ha desmantelado un servicio de proxy criminal llamado SocksEscort que esclavizaba a miles de enrutadores residenciales en todo el mundo en una red de bots para cometer fraudes a gran escala.
"SocksEscort infectó enrutadores de internet domésticos y de pequeñas empresas con malware", declaró el Departamento de Justicia de EE. UU. (DoJ). "El malware permitió a SocksEscort dirigir el tráfico de internet a través de los enrutadores infectados. SocksEscort vendió este acceso a sus clientes".
Se dice que SocksEscort ("socksescort[.]com") ofreció vender el acceso a unas 369.000 direcciones IP diferentes en 163 países desde el verano de 2020. El servicio contaba con casi 8.000 enrutadores infectados en febrero de 2026. De estos, 2.500 estaban ubicados en EE. UU.
En diciembre de 2025, el sitio web de SocksEscort afirmaba ofrecer "IP residenciales estáticas con ancho de banda ilimitado" y que podía eludir las listas de bloqueo de spam. Anunciaba más de 35.900 proxies de 102 países, con un paquete de 30 proxies que costaba 15 dólares al mes. Un paquete de 5.000 proxies costaba 200 dólares al mes.
El objetivo final de servicios como SocksEscort es permitir a los clientes que pagan tunelar el tráfico de Internet a través de dispositivos comprometidos sin el conocimiento de la víctima, ofreciéndoles una forma de mezclarse y hacer más difícil diferenciar el tráfico malicioso de la actividad legítima al ocultar sus verdaderas direcciones IP y ubicaciones.
Algunas de las víctimas que fueron defraudadas como parte de los esquemas llevados a cabo utilizando SocksEscort incluyeron a un cliente de un intercambio de criptomonedas que vivía en Nueva York y fue defraudado por un valor de $1 millón en criptomonedas; una empresa de fabricación en Pensilvania que fue defraudada por $700,000; y miembros actuales y anteriores del servicio militar de EE. UU. con tarjetas MILITARY STAR que fueron defraudados por $100,000.
En un anuncio coordinado, Europol indicó que la operación, denominada Operación Relámpago, involucró a autoridades de Austria, Bulgaria, Francia, Alemania, Hungría, Países Bajos, Rumanía y Estados Unidos. El ejercicio de disrupción resultó en la desactivación de 34 dominios y 23 servidores ubicados en siete países. Se congelaron un total de 3,5 millones de dólares en criptomonedas.
"Estos dispositivos, principalmente routers residenciales, fueron explotados para facilitar diversas actividades delictivas, como ransomware, ataques DDoS y la distribución de material de abuso sexual infantil (MASI)", declaró Europol. "Los dispositivos comprometidos se infectaron mediante una vulnerabilidad en los módems residenciales de una marca específica".
Para acceder al servicio proxy, los clientes debían usar una plataforma de pago que permitía adquirir el servicio de forma anónima con criptomonedas. Se estima que esta plataforma recibió más de 5 millones de euros de los clientes del servicio proxy.
SocksEscort funcionaba con un malware conocido como AVrecon, cuyos detalles fueron documentados públicamente por Lumen Black Lotus Labs en julio de 2023. Sin embargo, se estima que está activo desde al menos mayo de 2021. Se estima que el servicio proxy ha atacado 280.000 direcciones IP distintas a principios de 2025.
Además de convertir un dispositivo infectado en un proxy residencial de SocksEscort, AVrecon puede establecer un shell remoto con un servidor controlado por el atacante y actuar como cargador descargando y ejecutando cargas útiles arbitrarias. El malware ataca aproximadamente 1.200 modelos de dispositivos fabricados por Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link y Zyxel.
La gran mayoría de los dispositivos observados infectados con malware AVrecon son routers de pequeñas oficinas/empresas domésticas (SOHO) infectados mediante vulnerabilidades críticas como la ejecución remota de código (RCE) y la inyección de comandos, declaró en una alerta la Oficina Federal de Investigaciones (FBI) de EE. UU. [PDF]. El malware AVrecon está escrito en lenguaje C y se dirige principalmente a dispositivos MIPS y ARM.
Para lograr la persistencia, se ha observado que los actores de amenazas utilizan el mecanismo de actualización integrado del dispositivo para instalar una imagen de firmware personalizada que contiene una copia de AVrecon, la cual está programada para ejecutarse al iniciar el dispositivo. El firmware modificado también desactiva las funciones de actualización y actualización del dispositivo, lo que provoca una infección permanente.
"Esta botnet representaba una amenaza significativa, ya que se comercializaba exclusivamente para delincuentes y estaba compuesta únicamente por dispositivos periféricos comprometidos", declaró el equipo de Black Lotus Labs. "Durante los últimos años, SocksEscort mantuvo un promedio de aproximadamente 20 000 víctimas distintas por semana, con comunicaciones enrutadas a través de un promedio de 15 nodos de comando y control (C2)".
