Opsporingsdiensten in de Verenigde Staten en Europa hebben SocksEscort ontmanteld, een kwaadaardige proxydienst die werd ingezet voor diverse vormen van cybercriminaliteit. Deze proxyservice stelde gebruikers in staat hun identiteit te verbergen en beveiligingssystemen te omzeilen. SocksEscort werd gebruikt voor onder meer DDoS-aanvallen, ransomware en de verspreiding van kindermisbruikmateriaal.

Volgens Europol en het Amerikaanse ministerie van Justitie draaide SocksEscort op gehackte routers en andere IoT-apparaten. Sinds 2020 waren ongeveer 363.000 IP-adressen uit 163 landen verbonden aan deze cybercrime-dienst. In februari 2026, vlak voor de ontmanteling, ondersteunden circa 8.000 gehackte routers de dienst, waarvan 2.500 in de VS. Lumen Technologies, met hun Black Lotus Labs betrokken bij de actie, meldde dat SocksEscort wekelijks gemiddeld 20.000 unieke slachtoffers had, met communicatie via ongeveer 15 command-and-control servers.

De autoriteiten schatten dat klanten van SocksEscort meer dan 5,7 miljoen dollar betaalden voor de proxydienst. Volgens het Amerikaanse ministerie van Justitie profiteerden veel gebruikers aanzienlijk, met fraudezaken waarbij slachtoffers soms voor honderden duizenden tot een miljoen dollar werden benadeeld. Europol gaf aan dat 34 domeinen en 23 servers in zeven landen zijn afgesloten en in beslag genomen. Daarnaast bevroren de Verenigde Staten 3,5 miljoen dollar aan cryptocurrency. De geïnfecteerde modems die de proxydienst mogelijk maakten, zijn losgekoppeld.

Het FBI gaf een waarschuwing uit voor de AVrecon-malware die SocksEscort aandreef. Deze malware werd verspreid via bekende kwetsbaarheden in routers en IoT-apparaten, waarmee een botnet werd opgebouwd. AVrecon richt zich op ongeveer 1.200 modellen van fabrikanten als Cisco, D-Link, Hikvision, MicroTik, Netgear, TP-Link en Zyxel. De meeste geïnfecteerde apparaten zijn kleine kantoor- en thuisrouters, besmet via kritieke kwetsbaarheden zoals Remote Code Execution en command injection. De FBI verstrekte indicatoren van compromittering en aanbevelingen om apparaten te beveiligen.

De ontmanteling van SocksEscort volgt kort op een gezamenlijke actie van Europol, Microsoft en cybersecuritybedrijven tegen het phishing-as-a-service platform Tycoon 2FA.