MalwareHackerangriffeCyberkriminalität

Behörden zerschlagen SocksEscort: Massive Proxy-Botnet mit 20.000 Linux-Routern pro Woche stillgelegt

Behörden zerschlagen SocksEscort: Massive Proxy-Botnet mit 20.000 Linux-Routern pro Woche stillgelegt
Zusammenfassung

Die US-amerikanischen und europäischen Behörden haben gemeinsam mit privaten Partnern das kriminelle Proxy-Netzwerk SocksEscort zerschlagen, das jahrelang Cyberkriminellen als Infrastruktur für illegale Aktivitäten diente. Das Netzwerk basierte auf Linux-Malware namens AVRecon und infizierte über Jahre hinweg durchschnittlich 20.000 Geräte pro Woche – hauptsächlich Router von Privathaushalten und kleineren Unternehmen. Die Betreiber boten Kriminellen Zugang zu vermeintlich „sauberen" IP-Adressen großer amerikanischer Internet-Provider wie Comcast und Verizon, die es ihnen ermöglichten, Sperrlisten zu umgehen und Betrügereien sowie Geldwäsche durchzuführen. Die Auswirkungen waren erheblich: Das Netzwerk war in Millionenbetrug verwickelt, darunter ein Kryptowährungsdiebstahl von einer Million Dollar und Betrugsfälle gegen US-Militärangehörige. Für deutsche Nutzer und Unternehmen bedeutet dieser Fall eine wichtige Warnung: Auch hierzulande könnten ähnliche Malware-Varianten Router gefährden, besonders wenn Sicherheitsupdates nicht eingespielt werden. Behörden und IT-Sicherheitsexperten raten zur Überprüfung von Routern und zur sofortigen Aktualisierung der Firmware.

Die erfolgreiche Operation gegen SocksEscort markiert einen Wendepunkt im Kampf gegen infrastruktur-basierte Cyberkriminalität. Laut Lumen’s Black Lotus Labs, die federführend bei der Ermittlung waren, handelte es sich um ein Netzwerk von beispielloser Größe: Seit Sommer 2020 verkaufte SocksEscort Zugang zu etwa 369.000 verschiedenen IP-Adressen. Im Februar 2026 kontrollierten die Betreiber noch ungefähr 8.000 infizierte Router, davon 2.500 in den USA.

Die Schadensbilanzen sind beeindruckend: Das US-Justizministerium dokumentiert einen Kryptowährungsdiebstahl von einer Million Dollar in New York, Betrugsverluste von 700.000 Dollar bei einem pennsylvanischen Fertigungsbetrieb und 100.000 Dollar Schaden durch Betrug gegen US-Militärangehörige mit MILITARY STAR-Karten. Experten gehen davon aus, dass die tatsächlichen Schäden erheblich höher liegen.

Technisch basierte SocksEscort auf der AVRecon-Malware für Linux, die seit mindestens Mai 2021 aktiv ist. Die Schadsoftware infizierte primär SOHO-Router (Small Office/Home Office) – günstige Geräte mit schwachen Sicherheitsstandards, die von Privatnutzern und Kleinbetrieben eingesetzt werden. Bis Mitte 2023 waren über 70.000 solcher Geräte kompromittiert.

Lumen hatte bereits 2023 erste Maßnahmen ergriffen und die Command-and-Control-Infrastruktur durch Null-Routing blockiert. Doch die Kriminellen erwiesen sich als adaptiv: Sie reaktivierten den Betrieb über 15 neue C2-Knoten. Seit Anfang 2025 registrierte Lumen 280.000 eindeutige infizierte IP-Adressen.

Die jetzt durchgeführte Operation war koordiniert: Europol koordinierte Maßnahmen in Österreich, Frankreich und den Niederlanden. Insgesamt wurden 34 Domains und 23 Server in sieben Ländern beschlagnahmt. Die USA froren zusätzlich 3,5 Millionen Dollar in Kryptowährungen ein.

Für Nutzer und Unternehmen im deutschsprachigen Raum ergibt sich eine klare Botschaft: Router sind kritische Infrastruktur und oft das Einfallstor für Cyberkriminelle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt daher dringend: Nutzer sollten ihre Router auf die neueste Firmware aktualisieren, Standardpasswörter ändern und, falls nicht notwendig, Remote-Access-Funktionen deaktivieren. Besonders Router, die das End-of-Life-Stadium erreicht haben, sollten ersetzt werden. Die SocksEscort-Zerschlagung zeigt: Proaktive Cybersicherheit auf Geräteebene ist kein Luxus, sondern Notwendigkeit.

Ähnliche Artikel