Autoridades de múltiples países. Calcetines desmanteladosEscortuna red de proxy residencial que los ciberdelincuentes utilizaron para cometer fraude a gran escala, reclamando acceso a alrededor de 369.000 direcciones IP desde 2020, dijo el jueves el Departamento de Justicia.

Europol, que ayudó en la investigación junto con varias agencias policiales, Black Lotus Labs de Lumen y la Fundación Shadowserver, dijo que el servicio proxy malicioso enrutadores y dispositivos IoT comprometidos en 163 países. Los funcionarios dijeron que la plataforma de pago de la red proxy recibió alrededor de 5,8 millones de dólares de sus clientes.

La acción coordinada globalmente, denominada Operación Relámpago, derribó y confiscó 34 dominios y 23 servidores en siete países. Los funcionarios estadounidenses congelaron un total de 3,5 millones de dólares en criptomonedas supuestamente vinculadas a la botnet que se creó a partir de dispositivos infectados.

«El ciberdelito se nutre del anonimato», dijo en un comunicado Catherine De Bolle, directora ejecutiva de Europol. «Los servicios proxy como SocksEscort brindan a los delincuentes la cobertura digital que necesitan para lanzar ataques, distribuir contenido ilegal y evadir la detección».

Según los funcionarios, los operadores de SocksEscort ensamblaron la botnet explotando una vulnerabilidad en módems residenciales de un proveedor no identificado.

La operación de delito cibernético defraudó a estadounidenses y empresas estadounidenses por millones de dólares, dijo el Departamento de Justicia. Más de una cuarta parte de los 8.000 enrutadores infectados que SocksEscort anunció en febrero tenían su sede en Estados Unidos.

SocksEscort comenzó a operar en 2009 y su infraestructura de comando y control pasó desapercibida para la mayoría de las herramientas durante mucho tiempo, dijo a CyberScoop Ryan English, ingeniero de seguridad de la información en Black Lotus Labs.

La infraestructura de la botnet, impulsada por el malware AVRecon, fue difícil de alcanzar y mantuvo un volumen constantemente alto, cobrando un promedio de 20.000 víctimas semanales desde principios de 2024. Su impacto alcanzó su punto máximo en enero de 2025, cuando atrapó a más de 15.000 víctimas diariamente, según Investigación de Black Lotus Labs.

La compañía dijo que observó 280.000 IP únicas como víctimas de la red proxy desde principios de 2025, y más de la mitad de las víctimas de SocksEscort se encontraban en los Estados Unidos y el Reino Unido.

«Dado el gran volumen de generación de víctimas, no me sorprendería si eventualmente encontraran algo realmente importante que los hiciera ascender en la lista de redes a perseguir», dijo a CyberScoop Chris Formosa, ingeniero senior de seguridad de la información en Black Lotus Labs.

«Estaban comercializando exclusivamente para ciberdelincuentes y en ningún otro lugar», añadió. «Con una red como esta, una vez que las fuerzas del orden obtienen acceso legal a la infraestructura backend, pueden brindarles mucha inteligencia sobre otros actores de amenazas además de los operadores de botnets».

Varias agencias de Austria, Bulgaria, Eurojust, Francia, Alemania, Hungría, Países Bajos y Rumanía ayudaron en la investigación y el desmantelamiento.