Una operación policial internacional autorizada por un tribunal ha desmantelado un servicio de proxy criminal llamado CalcetinesAcompañante que esclavizó a miles de enrutadores residenciales en todo el mundo a una botnet para cometer fraude a gran escalera.
“SocksEscort infectó enrutadores de Internet domésticos y de pequeñas empresas con malware”, dijo el Unidad de Honradez de Estados Unidos (DoJ). “El malware permitió a SocksEscort dirigir el tráfico de Internet a través de los enrutadores infectados. SocksEscort vendió este camino a sus clientes”.
Se dice que SocksEscort (“socksescort(.)com”) ha ofrecido traicionar camino a rodeando de 369.000 direcciones IP diferentes en 163 países desde el verano de 2020, y el servicio enumera casi 8.000 enrutadores infectados en febrero de 2026. De estos, 2.500 estaban ubicados en EE. UU.
En diciembre de 2025, el sitio web de SocksEscort afirmaba ofrecer “IP residenciales estáticas con orgulloso de pandilla ilimitado” y que pueden evitar las listas de incomunicación de spam. Anunciaba más de 35.900 proxies de 102 países, y un conjunto de 30 proxies costaba 15 dólares al mes. Un paquete que consta de 5.000 proxies cuesta 200 dólares al mes.
El objetivo final de servicios como SocksEscort es permitir a los clientes que pagan canalizar el tráfico de Internet a través de dispositivos comprometidos sin el conocimiento de la víctima, ofreciéndoles una forma de mezclarse y dificultar la diferenciación del tráfico zorro de la actividad legítima al ocultar sus verdaderas direcciones IP y ubicaciones.
Algunas de las víctimas que fueron defraudadas como parte de esquemas llevados a promontorio utilizando SocksEscort incluyeron un cliente de un intercambio de criptomonedas que vivía en Nueva York y fue defraudado con $1 millón en criptomonedas; una empresa manufacturera en Pensilvania que fue defraudada por 700.000 dólares; y miembros actuales y anteriores del servicio estadounidense con tarjetas MILITARY STAR que fueron defraudados por 100.000 dólares.
En un anuncio coordinado, Europol dijo que el esfuerzo, cuyo nombre en código es Operación Relámpago, involucró a autoridades de Austria, Bulgaria, Francia, Alemania, Hungría, los Países Bajos, Rumania y los EE. UU. El entrenamiento de interrupción resultó en la matanza de 34 dominios y 23 servidores ubicados en siete países. Se han congelado un total de 3,5 millones de dólares en criptomonedas.
“Estos dispositivos, principalmente enrutadores residenciales, fueron explotados para favorecer diversas actividades delictivas, incluido ransomware, ataques DDoS y la distribución de material de injusticia sexual pueril (CSAM)”, dijo Europol. “Los dispositivos comprometidos fueron infectados a través de una vulnerabilidad en los módems residenciales de una marca específica”.
“Para consentir al servicio de proxy, los clientes tenían que utilizar una plataforma de plazo que permitía comprar el servicio de forma anónima utilizando criptomonedas. Se estima que esta plataforma de plazo recibió más de 5 millones de euros de los clientes del servicio de proxy”.
SocksEscort funcionaba con un malware conocido como AVrecon, cuyos detalles fueron documentados públicamente por Lumen Black Lotus Labs en julio de 2023. Sin bloqueo, se estima que está activo desde al menos mayo de 2021. Se estima que el servicio proxy ha victimizado a 280.000 direcciones IP distintas a partir de principios de 2025.
Adicionalmente de convertir un dispositivo infectado en un proxy residencial de SocksEscort, AVrecon está equipado para establecer un shell remoto para un servidor controlado por un atacante y desempeñarse como un cargador descargando y ejecutando cargas enseres arbitrarias. El malware se dirige a aproximadamente 1200 modelos de dispositivos fabricados por Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link y Zyxel.
“La gran mayoría de los dispositivos observados infectados con el malware AVrecon son enrutadores de pequeñas oficinas/oficinas domésticas (SOHO) infectados mediante vulnerabilidades críticas como la ejecución remota de código (RCE) y la inyección de comandos”, dijo la Oficina Federal de Investigaciones de EE. UU. en una alerta. “El malware AVrecon está escrito en estilo C y se dirige principalmente a dispositivos MIPS y ARM”.
Para conseguir persistencia, se ha observado que los actores de amenazas utilizan el mecanismo de puesta al día incorporado del dispositivo para mostrar una imagen de firmware personalizada que contiene una copia de AVrecon, que está codificada para ejecutarla al iniciar el dispositivo. El firmware modificado todavía desactiva las funciones de puesta al día y puesta al día del dispositivo, lo que provoca que los dispositivos queden infectados permanentemente.
“Esta botnet representaba una amenaza significativa, ya que se comercializaba exclusivamente para delincuentes y estaba compuesta solamente por dispositivos periféricos comprometidos”, dijo el equipo de Black Lotus Labs. “Durante los últimos primaveras, SocksEscort mantuvo un tamaño promedio de aproximadamente 20.000 víctimas distintas por semana, con comunicaciones enrutadas a través de un promedio de 15 nodos de comando y control (C2)”.
