Una recente operazione internazionale di contrasto al cybercrime ha interrotto SocksEscort, un servizio criminale di proxy residenziali che sfruttava router domestici e di piccole imprese compromessi per instradare traffico internet e facilitare frodi su larga scala. Il modello era semplice e redditizio: i dispositivi infettati venivano trasformati in nodi di uscita, permettendo ai clienti paganti di mascherare indirizzo IP reale e posizione geografica, rendendo più difficile distinguere traffico malevolo da attività legittime.

Secondo le informazioni diffuse dalle autorità, SocksEscort avrebbe messo in vendita accesso a circa 369.000 indirizzi IP in 163 paesi a partire dal 2020, con migliaia di router compromessi ancora elencati nel 2026. L’offerta commerciale puntava su proxy residenziali statici e banda illimitata, presentandoli anche come utili a bypassare liste antispam. I pacchetti variavano da piccoli set mensili a grandi volumi di migliaia di proxy, confermando come questi servizi proxy illegali siano diventati un abilitatore chiave per frodi, account takeover e campagne automatizzate.

L’impatto sulle vittime è stato concreto. Tra i casi citati figurano furti di criptovalute per importi elevati e frodi a danno di aziende e privati, inclusi possessori di carte collegate a circuiti dedicati al personale militare. In parallelo, l’uso di botnet di router come infrastruttura di anonimizzazione è stato associato anche ad attacchi DDoS, ransomware e distribuzione di contenuti illegali, mostrando quanto un singolo servizio di proxy possa alimentare più filiere criminali.

L’azione di disturbo, denominata Operation Lightning, ha coinvolto più paesi europei insieme agli Stati Uniti e ha portato al sequestro di decine di domini e server in diverse giurisdizioni, oltre al congelamento di milioni in criptovalute. Un elemento centrale è stato l’uso di pagamenti in criptovaluta tramite piattaforme pensate per acquistare servizi in modo anonimo, con flussi economici stimati in milioni di euro.

Sul piano tecnico, SocksEscort era collegato al malware AVrecon, noto per colpire molti modelli di router e dispositivi edge di vari produttori. Oltre a trasformare i router in proxy residenziali, AVrecon può aprire una shell remota e scaricare ulteriori payload, aumentando il rischio di compromissione persistente. Le infezioni avvengono spesso sfruttando vulnerabilità critiche come RCE e command injection e, per mantenere la persistenza, possono essere installati firmware modificati che ostacolano aggiornamenti e ripristino.