Un'operazione coordinata tra Europol e le forze di polizia di otto paesi ha portato allo smantellamento di SocksEscort, una sofisticata rete utilizzata dai criminali informatici per mascherare le proprie attività illegittime. L'intervento, denominato Operation Lightning e concluso a marzo 2026, ha visto il coinvolgimento di Austria, Bulgaria, Francia, Germania, Ungheria, Olanda, Romania e Stati Uniti, con il supporto tecnico dei Black Lotus Labs di Lumen e della Shadowserver Foundation. Nel corso dell'operazione sono stati chiusi 34 domini, sequestrati 23 server distribuiti in sette paesi e congelati 3,5 milioni di dollari in criptovalute.
SocksEscort funzionava come un servizio di proxy residenziale, un sistema che consente ai suoi utilizzatori di instradare il traffico internet attraverso indirizzi IP di router privati, rendendo così difficile risalire all'origine delle azioni criminali. I gestori della piattaforma avevano infettato circa ottomila router con il malware AVRecon, sviluppato specificamente per i sistemi Linux, e hanno commercializzato oltre 369mila indirizzi IP provenienti da 163 nazioni diverse. Gli acquirenti potevano procurarsi questi servizi attraverso un portale online, pagando rigorosamente in valute digitali per mantenere l'anonimato.
La ricerca ha evidenziato come la rete clandestina sia stata impiegata per perpetrare una vasta gamma di crimini informatici: dalle estorsioni ransomware agli attacchi di negazione del servizio su larga scala, dal furto di fondi criptografici all'accesso non autorizzato a conti bancari, fino alla diffusione di materiale di sfruttamento minorile. Un caso emblematico riguarda una vittima residente a New York che ha subito il furto di un milione di dollari in criptovalute. Nonostante i ricercatori di Lumen abbiano scoperto il malware AVRecon nel luglio 2023 e inizialmente neutralizzato la botnet, i criminali hanno ripreso le operazioni nei mesi successivi, dimostrando la persistenza della minaccia.
Gli esperti di cybersecurity consigliano agli utenti di monitorare attentamente il traffico in uscita dalle proprie reti domestiche e di installare tempestivamente i firmware più recenti per i propri dispositivi, al fine di colmare le vulnerabilità sfruttate dagli attaccanti. Per i router che non ricevono più aggiornamenti dai rispettivi costruttori, soprattutto in ambito aziendale dove i rischi sono superiori, viene fortemente raccomandato il rimpiazzo con apparecchiature moderne e supportate. Tutti gli ottomila dispositivi compromessi sono stati disconnessi dalla rete criminale, interrompendo così le attività illecite.
