Nach Angaben des US-Justizministeriums diente SocksEscort unter anderem dem Diebstahl von Kryptowährung im Wert von einer Million US-Dollar von einem Nutzer in New York. Zudem ermöglichte der Dienst Verluste von 700.000 US-Dollar durch Betrug an einem produzierenden Unternehmen in Pennsylvania sowie Schäden von 100.000 US-Dollar bei einem Betrug, der aktive und ehemalige US-Soldaten mit sogenannten MILITARY-STAR-Karten betraf.
In Europa schalteten Behörden in Österreich, Frankreich und den Niederlanden unter Koordination von Europol mehrere SocksEscort-Server ab. Laut Europol wurden am Aktionstag 34 Domains beschlagnahmt sowie 23 Server in sieben Ländern. Die USA froren zudem Kryptowährung im Wert von 3,5 Millionen US-Dollar ein.
Nach Darstellung der Lumen-Forscher wurde SocksEscort von der Malware AVRecon betrieben, die mindestens seit Mai 2021 aktiv sein soll und bis Mitte 2023 mehr als 70.000 Linux-basierte SOHO-Router (Small Office/Home Office) infizierte. Bereits 2023 hatten die Forscher das AVRecon-Botnetz gestört, indem sie die Command-and-Control-Infrastruktur (C2) im eigenen Netz per Null-Routing isolierten und infizierte Geräte so von ihren Betreibern abschnitten.
Diese Maßnahme zeigte jedoch nur begrenzte Wirkung: Die Betreiber kehrten mit der Zeit zum regulären Betrieb zurück und leiteten ihre Kommunikation über 15 C2-Knoten. Ein Lumen-Sprecher erklärte gegenüber BleepingComputer, SocksEscort habe ausschließlich AVRecon zum Hinzufügen neuer Knoten genutzt. Seit Anfang 2025 verzeichnete das Unternehmen 280.000 eindeutige IP-Adressen von Opfern.
Nach Einschätzung der Forscher diente AVRecon allein dem Ausbau von SocksEscort, da die beobachteten Opfer-IPs in keinem anderen Botnetz oder Dienst auftauchten. Trotz des erheblichen Umfangs hielten die Betreiber ihre C2-Infrastruktur unentdeckt. Mehr als die Hälfte der infizierten Geräte befand sich in den USA und im Vereinigten Königreich, was sich für das Routing schädlichen Datenverkehrs und das Umgehen von Sperrlisten besonders eignete.
Kürzlich legte Black Lotus Labs ein weiteres Proxy-Botnetz namens KadNap offen, das vor allem ASUS-Router und andere Edge-Geräte ins Visier nimmt. Seit August 2025 infizierte es nach diesen Angaben 14.000 Geräte und nutzt einen neuartigen, aber fehlerhaften Kommunikations- und Peer-Discovery-Mechanismus auf Basis des Kademlia-Distributed-Hash-Table-Protokolls (DHT). Lumen ging hier nur eingeschränkt vor und blockierte sämtlichen Datenverkehr zur und von der C2-Infrastruktur im eigenen Netz.
Um das Risiko einer Router-Kompromittierung zu senken, empfehlen die Forscher, Geräte ohne Herstellersupport zu ersetzen, die aktuelle Firmware einzuspielen, das voreingestellte Administratorpasswort zu ändern und nicht benötigte Fernzugriffs-Oberflächen zu deaktivieren.
