USA i Europol rozbijają SocksEscort – przestępczą sieć proxy opartą na malware AVRecon dla Linuksa - Security Bez Tabu

USA i Europol rozbijają SocksEscort – przestępczą sieć proxy opartą na malware AVRecon dla Linuksa

Cybersecurity news

Wprowadzenie do problemu / definicja

SocksEscort to cyberprzestępcza usługa proxy, która umożliwiała przekierowywanie ruchu internetowego przez zainfekowane urządzenia brzegowe, przede wszystkim routery oraz sprzęt SOHO działający pod kontrolą Linuksa. Tego typu infrastruktura jest szczególnie cenna dla operatorów phishingu, oszustw finansowych, przejęć kont i innych działań, w których kluczowe znaczenie ma ukrycie rzeczywistego źródła ruchu.

W marcu 2026 roku amerykańskie służby, we współpracy z Europolem i partnerami prywatnymi, przeprowadziły skoordynowaną operację wymierzoną w tę infrastrukturę. Działania te doprowadziły do istotnego zakłócenia funkcjonowania sieci, która przez lata dostarczała cyberprzestępcom dostęp do adresów IP należących do legalnych użytkowników.

W skrócie

  • Rozbita została sieć proxy SocksEscort, oparta na zainfekowanych urządzeniach linuksowych.
  • Za pozyskiwanie nowych węzłów odpowiadało złośliwe oprogramowanie AVRecon.
  • Usługa przez lata utrzymywała średnio około 20 tysięcy aktywnych urządzeń tygodniowo.
  • Od lata 2020 roku infrastruktura miała oferować dostęp do około 369 tysięcy różnych adresów IP.
  • W operacji przejęto 34 domeny i 23 serwery zlokalizowane w siedmiu krajach.
  • W USA zabezpieczono również około 3,5 mln USD w kryptowalutach.

Kontekst / historia

SocksEscort został publicznie opisany już w 2023 roku, jednak według dostępnych ustaleń działał znacznie dłużej — ponad dekadę. Jego wartość dla klientów wynikała z dostępu do tzw. czystych adresów IP, przypisanych użytkownikom domowym oraz małym firmom. Ruch wychodzący z takich adresów jest trudniejszy do odróżnienia od legalnej aktywności niż ruch pochodzący z centrów danych czy znanych serwerów pośredniczących.

Kluczowym elementem wzrostu tej infrastruktury był malware AVRecon, aktywny co najmniej od maja 2021 roku. Szkodnik infekował routery i inne urządzenia sieciowe klasy SOHO, a następnie włączał je do rozproszonej infrastruktury proxy. W połowie 2023 roku liczba naruszonych urządzeń przekroczyła 70 tysięcy, co pokazuje, jak szybko tego typu kampanie mogą się skalować przy niskim poziomie zabezpieczeń po stronie ofiar.

Choć wcześniejsze działania ograniczające komunikację z infrastrukturą dowodzenia i kontroli osłabiły botnet, nie doprowadziły do jego trwałego wyłączenia. Operatorzy odbudowali zasoby i kontynuowali działalność, wykorzystując wiele węzłów oraz rozproszoną architekturę zaplecza.

Analiza techniczna

Technicznie SocksEscort nie był pojedynczym malware, lecz usługą proxy zbudowaną na bazie wcześniej przejętych urządzeń. AVRecon pełnił rolę warstwy infekcji i rozbudowy ekosystemu, kompromitując linuksowe urządzenia brzegowe i przekształcając je w punkty pośredniczące dla ruchu klientów usługi.

Model działania można podzielić na kilka etapów. Najpierw dochodziło do przejęcia routera lub innego urządzenia edge. Następnie host był rejestrowany w infrastrukturze operatora i oferowany klientom jako punkt wyjścia do tunelowania ruchu. Dzięki temu użytkownik usługi mógł ukrywać własną geolokalizację, omijać blokady oparte na reputacji oraz utrudniać analizę źródła ataku.

Istotnym szczegółem jest specjalizacja AVRecon. Według ustaleń badaczy malware miał służyć wyłącznie do rozbudowy ekosystemu SocksEscort, a nie do szerokiego współdzielenia zasobów z innymi botnetami. Taki model mógł wydłużać żywotność infrastruktury i zmniejszać ryzyko szybkiego wykrycia. Dodatkowo szczególnie cenne były urządzenia zlokalizowane w Stanach Zjednoczonych i Wielkiej Brytanii, ponieważ ruch z tych regionów bywa uznawany za bardziej wiarygodny.

Z ujawnionych informacji wynika również, że od początku 2025 roku zaobserwowano 280 tysięcy unikalnych adresów IP ofiar. Jeszcze w lutym 2026 roku aplikacja SocksEscort miała prezentować około 8 tysięcy aktywnych, zainfekowanych routerów dostępnych dla klientów, z czego około 2,5 tysiąca znajdowało się w USA.

Konsekwencje / ryzyko

Sieci proxy oparte na przejętych routerach stanowią poważne zagrożenie dla użytkowników indywidualnych, firm i instytucji. Pozwalają cyberprzestępcom korzystać z reputacji legalnych adresów IP, utrudniają atrybucję działań oraz obniżają skuteczność klasycznych mechanizmów obronnych opartych na blokowaniu adresów o złej reputacji.

Ryzyko ma również wymiar finansowy. Infrastruktura SocksEscort była łączona z incydentami skutkującymi stratami liczonymi w setkach tysięcy dolarów, w tym z kradzieżą kryptowalut oraz oszustwami wymierzonymi w przedsiębiorstwa i użytkowników kart płatniczych. To pokazuje, że pozornie techniczna warstwa pośrednicząca może pełnić kluczową rolę w całym łańcuchu ataku.

Dodatkowym problemem jest niski poziom zarządzania bezpieczeństwem urządzeń brzegowych. Routery i sprzęt SOHO często funkcjonują latami bez aktualizacji, z domyślnymi hasłami, aktywnym zdalnym zarządzaniem i bez realnego monitoringu. Z perspektywy napastników jest to środowisko idealne do budowy trwałej, taniej i trudnej do wykrycia infrastruktury.

Rekomendacje

Organizacje powinny traktować routery, firewalle brzegowe i urządzenia SOHO jako zasoby krytyczne, a nie jako sprzęt pomocniczy. W praktyce oznacza to konieczność prowadzenia pełnej inwentaryzacji, regularnego przeglądu wersji firmware oraz planowego wycofywania urządzeń, które nie są już wspierane przez producenta.

  • Natychmiast zmienić domyślne dane logowania i stosować silne hasła administracyjne.
  • Wyłączyć zdalne zarządzanie, jeśli nie jest niezbędne do działania.
  • Regularnie instalować aktualizacje firmware z zaufanych źródeł.
  • Ograniczyć dostęp administracyjny do wybranych adresów IP lub przez VPN.
  • Monitorować ruch wychodzący z urządzeń brzegowych pod kątem anomalii i połączeń do podejrzanych hostów.
  • Segmentować sieć zarządzającą i korelować telemetrię z listami IOC.

W przypadku podejrzenia kompromitacji zalecane jest wykonanie kopii konfiguracji, pełny reset urządzenia, instalacja najnowszego firmware oraz ponowna konfiguracja bez przywracania potencjalnie skażonych ustawień. Warto również wymusić zmianę poświadczeń we wszystkich systemach, które mogły być zarządzane z wykorzystaniem zainfekowanego sprzętu.

Podsumowanie

Operacja przeciwko SocksEscort pokazuje, że cyberprzestępcze sieci proxy nadal skutecznie wykorzystują słabo zabezpieczone urządzenia brzegowe do monetyzacji legalnych adresów IP. Przypadek AVRecon podkreśla, że Linux i infrastruktura SOHO pozostają atrakcyjnym celem tam, gdzie bezpieczeństwo nie jest traktowane priorytetowo.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest prosty: routery i urządzenia edge muszą być objęte taką samą dyscypliną ochrony jak serwery i stacje robocze. Ich kompromitacja może nie tylko narazić lokalną sieć, ale również zasilać globalną infrastrukturę wykorzystywaną do oszustw, phishingu i ukrywania źródeł ataków.

Źródła

  1. BleepingComputer — https://www.bleepingcomputer.com/news/security/us-disrupts-socksescort-proxy-network-powered-by-linux-malware/
  2. U.S. Department of Justice — https://www.justice.gov/
  3. Europol — https://www.europol.europa.eu/
  4. Lumen Black Lotus Labs — https://blog.lumen.com/