Una operación policial internacional sancionada por un tribunal ha desmantelado un servicio de agencia criminal llamado SocksEscort que utilizaba miles de enrutadores domésticos en todo el mundo para cometer fraude a gran escala.
«SocksEscort infectó hogares y enrutadores de Internet de pequeñas empresas con malware», dijo el Departamento de Justicia de Estados Unidos (DoJ) en un comunicado. «El malware permitió a SocksEscort dirigir el tráfico de Internet a través de enrutadores infectados. SocksEscort vendió este acceso a los clientes».
SocksEscort (“socksescort(.)com”) supuestamente ha ofrecido vender acceso a aproximadamente 369.000 direcciones IP diferentes en 163 países desde el verano de 2020, y el servicio tiene aproximadamente 8.000 enrutadores infectados enumerados en febrero de 2026. 2.500 de ellos estaban en los Estados Unidos.
En diciembre de 2025, el sitio web de SocksEscort afirmaba ofrecer «IP residenciales estáticas con ancho de banda ilimitado» y la capacidad de evitar las listas de bloqueo de spam. Anuncia más de 35.900 servidores proxy en 102 países y cuesta 15 dólares al mes por un conjunto de 30 servidores proxy. El paquete de 5.000 proxy cuesta 200 dólares al mes.
El objetivo final de servicios como SocksEscort es permitir a los clientes que pagan canalizar su tráfico de Internet a través de dispositivos comprometidos sin el conocimiento de la víctima, proporcionando una manera de enmascarar sus verdaderas direcciones IP y ubicación, haciendo que el tráfico malicioso sea difícil de distinguir de la actividad legítima.
Entre las víctimas que fueron defraudadas como parte de un plan llevado a cabo utilizando SocksEscort se encontraba un cliente de un intercambio de criptomonedas en Nueva York que fue defraudado con $1 millón en criptomonedas. Una empresa manufacturera de Pensilvania fue defraudada por 700.000 dólares. Personal militar actual y anterior de los EE. UU. fueron estafados con 100.000 dólares con tarjetas MILITARY STAR.
En un anuncio coordinado, Europol dijo que en el esfuerzo, denominado «Operación Relámpago», participaron autoridades de Austria, Bulgaria, Francia, Alemania, Hungría, Países Bajos, Rumania y Estados Unidos. El ejercicio resultó en la eliminación de 34 dominios y 23 servidores en siete países. Se congelaron un total de 3,5 millones de dólares en moneda virtual.
«Estos dispositivos, principalmente enrutadores residenciales, fueron explotados para facilitar una variedad de actividades delictivas, incluido ransomware, ataques DDoS y la distribución de material de abuso sexual infantil (CSAM)», dijo Europol. «Los dispositivos comprometidos fueron infectados a través de una vulnerabilidad en una marca particular de módem doméstico».
«Para acceder al servicio de proxy, los clientes tenían que utilizar una plataforma de pago que les permitía comprar el servicio de forma anónima utilizando criptomonedas. Se estima que esta plataforma de pago recibió más de 5 millones de euros de los clientes del servicio de proxy».
SocksEscort utiliza malware conocido como AVrecon, cuyos detalles fueron documentados públicamente por Lumen Black Lotus Labs en julio de 2023. Sin embargo, se estima que ha estado activo desde al menos mayo de 2021. Se estima que el servicio de proxy ha comprometido 280.000 direcciones IP individuales desde principios de 2025.
Además de convertir un dispositivo infectado en un proxy residencial de SocksEscort, AVrecon tiene la capacidad de actuar como un cargador estableciendo un shell remoto para un servidor controlado por un atacante y descargando y ejecutando cargas útiles arbitrarias. El malware se dirige a aproximadamente 1200 modelos de dispositivos fabricados por Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link y Zyxel.
«La mayoría de los dispositivos que se observa que están infectados con el malware AVrecon son enrutadores de pequeñas oficinas/oficinas domésticas (SOHO) infectados utilizando vulnerabilidades críticas como la ejecución remota de código (RCE) y la inyección de comandos», dijo la Oficina Federal de Investigaciones de EE. UU. en una alerta. «El malware AVrecon está escrito en C y se dirige principalmente a dispositivos MIPS y ARM».
Para lograr persistencia, se ha observado que los actores de amenazas utilizan el mecanismo de actualización integrado de un dispositivo para mostrar una imagen de firmware personalizada que contiene una copia codificada de AVrecon para ejecutarse cuando se inicia el dispositivo. El firmware modificado también desactiva las capacidades de actualización y flash del dispositivo, lo que infecta permanentemente el dispositivo.
«Esta botnet representaba una amenaza significativa porque se vendía exclusivamente a delincuentes y consistía únicamente en dispositivos periféricos comprometidos», dijo el equipo de Black Lotus Labs. «Durante los últimos años, SocksEscort ha mantenido un promedio de aproximadamente 20.000 víctimas por semana, con comunicaciones que se realizan a través de un promedio de 15 nodos de comando y control (C2)».
Source link
