Proxy-Dienste wie SocksEscort ermöglichen es ihren Nutzern, die eigene Identität zu verbergen und Schutzmechanismen zu umgehen. Im Fall von SocksEscort wurde der Dienst nach Angaben der Behörden für DDoS-Angriffe, Ransomware-Angriffe und die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs eingesetzt.
Die Infrastruktur bestand aus kompromittierten Routern und IoT-Geräten. Seit 2020 verknüpfen Europol und das US-Justizministerium rund 363.000 IP-Adressen aus 163 Ländern mit dem Dienst. Im Februar 2026, unmittelbar vor Beginn der Abschaltung, liefen etwa 8.000 gehackte Router im Verbund, davon rund 2.500 in den USA.
Lumen Technologies, dessen Einheit Black Lotus Labs an der Operation mitwirkte, erklärte, SocksEscort habe im Durchschnitt etwa 20.000 verschiedene Opfer pro Woche umfasst, wobei die Kommunikation über durchschnittlich 15 Command-and-Control-Knoten geleitet worden sei.
Nach Schätzung der Ermittler zahlten die Kunden insgesamt mehr als 5,7 Millionen US-Dollar für den Dienst. Daten des US-Justizministeriums zufolge zogen viele Nutzer erheblichen Profit daraus; einzelne brachten ihre Opfer in individuellen Betrugsmaschen um Hunderttausende oder sogar eine Million US-Dollar.
Europol teilte mit, die Behörden hätten 34 Domains sowie 23 Server in sieben Ländern beschlagnahmt und abgeschaltet. In den USA seien zudem Kryptowährungen im Wert von insgesamt 3,5 Millionen US-Dollar eingefroren worden. Die infizierten Modems, über die der Proxy-Dienst angeboten wurde, seien vom Dienst getrennt worden.
Das FBI gab eine Warnung zur Schadsoftware AVrecon heraus, die SocksEscort antrieb. Die Betreiber hätten bekannte Schwachstellen in Routern und IoT-Geräten ausgenutzt, um die Malware auszubringen und ein Botnetz aufzubauen. Laut FBI zielt SocksEscort mithilfe von AVrecon auf rund 1.200 Gerätemodelle der Hersteller Cisco, D-Link, Hikvision, MicroTik, Netgear, TP-Link und Zyxel. Die überwiegende Mehrheit der beobachteten infizierten Geräte seien SOHO-Router für Heim- und Kleinbüros, die über kritische Schwachstellen wie Remote Code Execution (RCE) und Command Injection befallen worden seien.
Die Behörde veröffentlichte zudem Informationen zur Verbreitung, Ausführung, Persistenz und Kommunikation von AVrecon und stellte Kompromittierungsindikatoren (IoCs) sowie Empfehlungen zur Absicherung der Geräte bereit.
Die Zerschlagung von SocksEscort folgt kurz auf eine gemeinsame Aktion von Europol, Microsoft und Sicherheitsunternehmen gegen die Phishing-as-a-Service-Plattform Tycoon 2FA.
