SocksEscort: operação derruba rede usada por criminosos

Uma operação internacional de aplicação da lei derrubou o SocksEscort. Esse era um serviço criminoso que transformava roteadores domésticos em ferramentas de fraude sem que os donos soubessem.

A ação foi liderada pelo Departamento de Justiça dos Estados Unidos e contou com a participação de autoridades de Áustria, Bulgária, França, Alemanha, Hungria, Holanda e Romênia.

O que era o SocksEscort

O SocksEscort infectava roteadores de casas e pequenas empresas com um malware chamado AVrecon. Depois de instalado, o programa permitia que o serviço redirecionasse o tráfego de internet pela conexão das vítimas.

Essa capacidade era vendida a clientes pagantes. Desde o verão de 2020, o serviço comercializou acesso a cerca de 369 mil endereços IP diferentes, espalhados por 163 países.

Em fevereiro de 2026, quando as investigações avançaram, o SocksEscort ainda listava cerca de 8 mil roteadores infectados disponíveis para compra. Desses, 2.500 estavam nos Estados Unidos.

O serviço se anunciava abertamente. O site do SocksEscort prometia “IPs residenciais estáticos com banda ilimitada” e garantia que as conexões eram capazes de contornar listas de bloqueio de spam. 

Em dezembro de 2025, a plataforma dizia oferecer mais de 35.900 proxies de 102 países diferentes.

Os preços eram acessíveis para o mundo do crime. Um pacote com 30 proxies custava US$ 15 por mês. Um pacote maior, com 5 mil proxies, saía por US$ 200 mensais. 

Para acessar o serviço, os clientes usavam uma plataforma de pagamento que permitia contratar tudo de forma anônima, usando criptomoedas. Estima-se que essa plataforma tenha recebido mais de 5 milhões de euros de clientes ao longo da operação.

Como o golpe funcionava na prática

Quando um criminoso comprava acesso ao SocksEscort, ele passava a navegar pela internet usando o endereço IP da vítima. Para sistemas de segurança e bancos, a conexão parecia vir de um usuário comum, e não de alguém cometendo fraude.

O objetivo era fazer com que o tráfego malicioso se misturasse ao tráfego legítimo de milhões de usuários comuns.

Essa técnica é chamada de proxy residencial. Ela serve para disfarçar a localização real de quem está aplicando o golpe, tornando muito mais difícil rastrear a origem do ataque.

Com essa cobertura, os clientes do SocksEscort realizaram uma série de crimes. As fraudes incluíam invasões de contas bancárias e de criptomoedas, pedidos fraudulentos de seguro-desemprego.

Entre os casos documentados, uma pessoa em Nova York teve US$ 1 milhão em criptomoedas roubados de sua conta em uma exchange. Uma empresa de manufatura na Pensilvânia perdeu US$ 700 mil. Militares e ex-militares americanos com cartões MILITARY STAR foram lesados em US$ 100 mil.

O serviço não era direcionado a um único tipo de crime. Segundo a Europol, os dispositivos comprometidos foram usados para ataques de ransomware. Também fora registrados ataques de negação de serviço (DDoS) e distribuição de material de abuso sexual infantil.

O malware por trás da operação

O AVrecon é escrito na linguagem C e ataca principalmente dispositivos com processadores MIPS e ARM, arquiteturas comuns em roteadores domésticos. O FBI identificou que a maioria das infecções se aproveitava de falhas críticas nesses equipamentos, como execução remota de código.

O malware mira aparelhos de marcas conhecidas. Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link e Zyxel estão entre os fabricantes cujos modelos foram explorados, em um total de cerca de 1.200 versões de dispositivos.

Além de transformar o roteador infectado em um proxy residencial, o AVrecon era capaz de abrir um acesso remoto ao dispositivo e funcionar como um carregador de outros programas maliciosos, baixando e executando qualquer código que os criminosos desejassem.

Para garantir que a infecção não fosse removida, os criminosos modificavam o próprio firmware do roteador.

Além de inserir uma cópia do malware que iniciava automaticamente com o aparelho, a versão adulterada desabilitava os recursos de atualização e reinstalação do sistema original. O resultado era um dispositivo permanentemente comprometido.

O AVrecon foi documentado publicamente pela empresa de segurança Lumen Black Lotus Labs em julho de 2023, mas as investigações indicam que o malware estava ativo pelo menos desde maio de 2021. 

Estima-se que, a partir do início de 2025, o serviço tenha vitimado 280 mil endereços IP distintos. Ao longo dos anos, o SocksEscort manteve uma média de 20 mil dispositivos infectados ativos por semana, com o tráfego sendo roteado por uma média de 15 servidores de comando e controle.

O que a operação alcançou

A ação, batizada de Operação Lightning, resultou na derrubada de 34 domínios e 23 servidores localizados em sete países. US$ 3,5 milhões em criptomoedas foram congelados.
Autoridades da França, Áustria e Holanda foram responsáveis por derrubar os servidores. A Europol e a Eurojust coordenaram a cooperação entre os países.

O Departamento de Justiça também executou mandados de apreensão contra dezenas de domínios de internet registrados nos Estados Unidos que estavam envolvidos na operação criminosa.

A investigação contou com apoio do FBI, do Serviço de Investigação Criminal de Defesa, da Receita Federal americana e da empresa de segurança Lumen Black Lotus Labs, que havia documentado publicamente o AVrecon ainda em julho de 2023.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.