ФБР, Европол и правоохранители восьми стран 11 марта 2026 года ликвидировали SocksEscort. Криминальный прокси-сервис заразил 369 000 домашних роутеров в 163 странах, продавая анонимный доступ к ним 124 000 клиентам. В ходе операции Operation Lightning изъяты 34 домена, 23 сервера и заморожены $3,5 млн в криптовалюте.
SocksEscort работал с 2009 года. Русскоязычная площадка начинала с продажи доступа к заражённым ПК, но с лета 2020 перешла на проксирование через домашние IP с помощью ботнета AVrecon. AVrecon написан на C под архитектуры MIPS и ARM и эксплуатирует уязвимости удалённого исполнения кода в SOHO-роутерах. Под удар попали примерно 1 200 моделей от Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link и Zyxel.
Читайте также: Unit 42. Слабости в управлении доступом участвовали в 89% взломов, вывод данных ускорился вчетверо
Заражённые устройства связывались с C2-серверами через порты 8000 и 8080. Обмен сообщениями PING/PONG шёл каждые 60 секунд до получения команды на открытие туннеля к серверу-ретранслятору SocksEscort. Для закрепления злоумышленники прошивали модифицированную прошивку с вшитой копией AVrecon и отключали штатные механизмы обновления. Заводской сброс не помогал.
В случаях без модифицированной прошивки C2-серверы, по данным ФБР, повторно заражали устройство через те же уязвимости.
На декабрь 2025 сайт SocksEscort рекламировал 35 900 анонимных IP из 102 стран. Минимальный пакет из 30 адресов стоил $15 в месяц с «неограниченной пропускной способностью», максимальный тариф на 5 000 обходился в $200. Платформа принимала только криптовалюту, а Европол оценивает общий объём платежей в €5 млн ($5,8 млн).
Киберпреступность процветает за счёт анонимности.
— Катрин Де Болль, исполнительный директор Европола
Европол связывает заражённые роутеры с ransomware (программами-вымогателями), DDoS и распространением CSAM (материалов насилия над детьми). Исследователи Black Lotus Labs из Lumen Technologies отслеживали ботнет с 2023 года и охарактеризовали его как «предназначенный исключительно для преступников». SocksEscort удерживал среднюю численность в 20 000 жертв еженедельно. Пик пришёлся на январь 2025 года, когда заражения превысили 15 000 в сутки.
Black Lotus Labs впервые публично описала AVrecon в июле 2023 года и заблокировала C2-инфраструктуру внутри сети Lumen. SocksEscort восстановили работу, перенаправив коммуникации через 15 новых C2-узлов. На этот раз правоохранители физически изъяли серверы в семи странах, что делает восстановление значительно сложнее.
Читайте также: Storm-2561 имитирует VPN-клиенты семи вендоров и крадёт учётные данные через отравление поисковой выдачи
Ликвидация SocksEscort продолжает серию ударов по криминальным сервисам анонимизации. В мае 2024 международная коалиция закрыла 911 S5, ботнет из 19 млн заражённых IP, создатель которого ЮнХэ Ван был арестован в Сингапуре. В 2025 году прекратили работу Anyproxy и 5socks. На той же неделе Black Lotus Labs раскрыла новый ботнет KadNap, атакующий роутеры ASUS с августа 2025 (14 000 заражённых аппаратов, протокол Kademlia DHT).
Изъятые серверы определённо приведут к дополнительным доказательствам, которые позволят преследовать дальнейшую преступную деятельность.
— агент ФБР Бильноски
Клиентская база SocksEscort насчитывала 124 000 пользователей. Расследование продолжается. Netgear в комментарии The Hacker News заявил, что его устройства попали под удар «на ранних стадиях ботнета в 2016 году», после чего компания выпустила исправления. По утверждению Netgear, с тех пор уязвимости в его оборудовании не эксплуатировались, однако независимого подтверждения этому нет.
Читайте также: Неисправимая уязвимость в чипах MediaTek позволяет извлечь PIN и seed-фразы за 45 секунд
Уязвимости в домашних роутерах остаются одним из самых тихих каналов компрометации. Владельцы годами не обновляют прошивку, а производители прекращают поддержку. ФБР опубликовало список 20 наиболее заражённых моделей (D-Link DIR-818LW/850L/860L, Netgear DGN2200v4/R7000, TP-Link Archer C20/TL-WR840N/WR841N, Zyxel серий EMG и VMG). Проверьте свой роутер.
— Артем Сафонов, редакция AnonHaven
ФБР опубликовало FLASH-бюллетень (20260312-001) с индикаторами компрометации AVrecon, включая хеши загрузчиков, IP-адреса и домены C2. Владельцам SOHO-роутеров рекомендуется обновить прошивку до актуальной версии, заменить оборудование с истёкшим сроком поддержки, сменить заводские пароли администратора и отключить удалённое управление. Перезагрузка удаляет AVrecon в случаях без модифицированной прошивки, но не защищает от повторного заражения.
Учитывая большое количество жертв, не удивлюсь, если они в итоге задели что-то действительно важное, что подвинуло их выше в списке сетей, за которыми стоит идти.
— Крис Формоза, ведущий инженер по ИБ, Black Lotus Labs
Прокуроры Восточного округа Калифорнии Николас Фогг, Сэм Стефанки и Кевин Хасигян вели судебное производство по делу SocksEscort.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
