Das Geschäftsmodell von SocksEscort beruhte auf gekaperten Geräten: Kriminelle erwarben Zugang zu Routern, die zuvor mit Schadsoftware infiziert worden waren, und leiteten ihre Aktivitäten über diese fremden Anschlüsse um. Laut Europol bemerkten die Eigentümer der betroffenen Geräte nicht, dass ihre IP-Adresse missbraucht wurde.
Das FBI veröffentlichte begleitend eine Warnmeldung zu einer Schadsoftware namens AVRecon, die gezielt Router und Geräte des Internets der Dinge angreift. Den Angaben zufolge kompromittieren die Täter Router, installieren AVrecon und verkaufen den Zugang zu den befallenen Geräten anschließend als Wohn-Proxys über den Dienst SocksEscort. Die Schadsoftware ziele auf rund 1.200 Gerätemodelle der Hersteller Cisco, D-Link, Hikvision, MicroTik, Netgear, TP-Link und Zyxel.
Bei der koordinierten Aktion wurden 34 Domains beschlagnahmt und 23 Server abgeschaltet. US-Behörden vollstreckten Beschlagnahmebeschlüsse gegen mehrere US-Domains, die den Betrieb von SocksEscort ermöglichten, und froren Kryptowährungen im Wert von 3,5 Millionen Dollar ein. Gerichtsdokumente brachten die Plattform mit Dutzenden Betrugsfällen in Verbindung, darunter gefälschte Anträge auf Arbeitslosenunterstützung, Kryptowährungsdiebstähle und die Übernahme von US-Bankkonten. Die Hintermänner sollen mit dem Dienst mehr als 5,7 Millionen Dollar eingenommen haben.
Die Server wurden von Behörden in Österreich, Frankreich und den Niederlanden abgeschaltet; an den im Juni 2025 begonnenen Ermittlungen beteiligten sich zudem Stellen in Bulgarien, Deutschland, Ungarn und Rumänien. Nach Angaben des US-Justizministeriums unterstützten auch private Unternehmen wie Lumens Black Lotus Labs und die Shadowserver Foundation die Operation.
Black Lotus Labs veröffentlichte einen eigenen Bericht zu AVRecon und SocksEscort. Demnach umfasste die Plattform über mehrere Jahre hinweg durchschnittlich rund 20.000 verschiedene Opfer pro Woche, deren Kommunikation über durchschnittlich 15 Command-and-Control-Knoten geleitet wurde. Bereits 2023 bezeichnete das Unternehmen das AVrecon-Botnetz als eines der größten, das es bei Angriffen auf Heim- und Büro-Router beobachtet habe.
Ein FBI-Vertreter erklärte gegenüber The Register, SocksEscort habe 124.000 Nutzer gehabt; die beschlagnahmten Server sollten nun gegen weitere kriminelle Aktivitäten eingesetzt werden. US-amerikanische und europäische Behörden haben in den vergangenen Jahren verstärkt gegen Botnetze vorgegangen – betroffen waren unter anderem QakBot, 911 S5, IPStorm, KV, DanaBot, Anyproxy und 5socks.
