Nach Angaben des DoJ verkaufte SocksEscort über seine Website (“socksescort[.]com”) den Zugang zu kompromittierten Geräten, damit Kunden ihren Datenverkehr unbemerkt durch fremde Router leiten konnten. Im Dezember 2025 warb die Seite mit “statischen Residential-IPs mit unbegrenzter Bandbreite”, die sich zum Umgehen von Spam-Sperrlisten eigneten. Angeboten wurden über 35.900 Proxys aus 102 Ländern – 30 Proxys kosteten 15 US-Dollar pro Monat, ein Paket mit 5.000 Proxys 200 US-Dollar monatlich.

Zu den Geschädigten zählen laut Mitteilung ein Kunde einer Kryptobörse aus New York, dem Kryptowährungen im Wert von einer Million US-Dollar entwendet wurden, ein Fertigungsbetrieb in Pennsylvania mit einem Schaden von 700.000 US-Dollar sowie aktive und ehemalige US-Soldaten mit MILITARY-STAR-Karten, die um 100.000 US-Dollar gebracht wurden.

Europol erklärte, die kompromittierten Geräte – überwiegend Heim-Router – seien für unterschiedliche kriminelle Zwecke genutzt worden, darunter Ransomware, DDoS-Angriffe und die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs (CSAM). Die Geräte seien über eine Schwachstelle in den Heim-Modems eines bestimmten Herstellers infiziert worden. Für den Zugang zum Proxy-Dienst mussten Kunden eine Zahlungsplattform nutzen, über die sich der Dienst anonym mit Kryptowährung erwerben ließ; diese Plattform soll mehr als fünf Millionen Euro von Proxy-Kunden eingenommen haben.

Grundlage von SocksEscort war die Malware AVrecon, die Lumen Black Lotus Labs im Juli 2023 öffentlich dokumentierte und deren Aktivität auf mindestens Mai 2021 zurückgeführt wird. Seit Anfang 2025 soll der Dienst 280.000 verschiedene IP-Adressen betroffen haben. Neben der Funktion als Residential-Proxy kann AVrecon eine Remote-Shell zu einem vom Angreifer kontrollierten Server aufbauen und als Loader beliebige Schadprogramme nachladen. Betroffen sind rund 1.200 Gerätemodelle der Hersteller Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link und Zyxel.

Nach Angaben des FBI handelt es sich bei den meisten infizierten Geräten um SOHO-Router (Small Office/Home Office), die über kritische Schwachstellen wie Remote Code Execution (RCE) und Command Injection kompromittiert wurden. Die in der Programmiersprache C geschriebene Malware ziele vorrangig auf MIPS- und ARM-Geräte.

Um sich dauerhaft einzunisten, nutzen die Angreifer den herstellereigenen Update-Mechanismus der Geräte, um ein eigenes Firmware-Abbild mit AVrecon einzuspielen, das beim Start fest ausgeführt wird. Die manipulierte Firmware deaktiviert zugleich die Update- und Flash-Funktionen, sodass die Geräte dauerhaft infiziert bleiben. Laut Black Lotus Labs umfasste SocksEscort über mehrere Jahre durchschnittlich rund 20.000 verschiedene Opfer pro Woche, mit Kommunikation über im Schnitt 15 Command-and-Control-Knoten (C2).