Миллионные кражи через домашний интернет. Рассказываем историю от взлета до закрытия сервиса SocksEscort

Сеть взломанных домашних и офисных маршрутизаторов годами незаметно работала на киберпреступников. Через такую инфраструктуру злоумышленники прятали вредоносный трафик, обходили блокировки и маскировали атаки. Теперь международная операция правоохранительных органов закрыла один из крупнейших подобных сервисов.

Министерство юстиции США вместе с правоохранительными органами европейских стран провело операцию против прокси-сети SocksEscort. Инфраструктура позволяла киберпреступникам направлять трафик через устройства обычных пользователей и небольших компаний. Сервис работал больше десяти лет.

Специалисты из подразделения Black Lotus Labs выяснили, что каждую неделю сеть насчитывала в среднем около 20 000 заражённых устройств. В разные годы сервис продавал доступ к сотням тысяч IP-адресов.

SocksEscort рекламировал «чистые» IP-адреса крупных интернет-провайдеров, среди которых Comcast, Spectrum, Verizon и Charter. Такие адреса редко попадали в чёрные списки, поэтому преступники могли скрывать атаки, мошенничество и другие операции.

Министерство юстиции США сообщает, что с лета 2020 года сервис предлагал доступ примерно к 369 000 уникальных IP-адресов. В феврале 2026 года в панели управления SocksEscort числилось около 8 000 заражённых маршрутизаторов, из них примерно 2 500 находились на территории США.

Сеть использовали в различных мошеннических схемах. Один из инцидентов связан с кражей криптовалюты на сумму около 1 млн долларов у пользователя из Нью-Йорка. Ещё один случай привёл к потерям на 700 000 долларов у производственной компании из Пенсильвании. Отдельная схема затронула владельцев кредитных карт MILITARY STAR среди действующих и бывших военнослужащих США и принесла ущерб примерно на 100 000 долларов.

В Европе операцию координировал Европол. Правоохранительные органы Австрии, Франции и Нидерландов изъяли серверы сервиса. В ходе операции специалисты отключили и конфисковали 34 домена и 23 сервера в семи странах. Власти США также заморозили криптовалюту на сумму 3,5 млн долларов.

Все заражённые устройства, использовавшиеся в сети SocksEscort, уже отключили от инфраструктуры сервиса.

Работу сети обеспечивала вредоносная программа AVRecon для Linux. По данным Black Lotus Labs, программа действовала как минимум с мая 2021 года. К середине 2023 года вредоносная программа заразила более 70 000 маршрутизаторов малого офиса и домашних сетей.

Сеть уже пытались остановить в 2023 году. Тогда специалисты заблокировали инфраструктуру управления ботнетом в собственной сети и разорвала связь заражённых устройств с управляющими серверами. Однако вмешательство оказалось временным. Операторы SocksEscort восстановили работу и продолжили управлять сетью через 15 серверов управления.

По данным Lumen, сервис добавлял новые узлы только через вредоносную программу AVRecon. С начала 2025 года компания наблюдала около 280 000 уникальных IP-адресов заражённых устройств.

Больше половины заражённых маршрутизаторов находилось в США и Великобритании. Такое распределение помогало злоумышленникам эффективнее маскировать вредоносный трафик и обходить системы фильтрации.

Недавно была обнаружена ещё одна прокси-сеть под названием KadNap. Ботнет атакует маршрутизаторы ASUS и другие сетевые устройства на границе сети. С августа 2025 года вредоносная сеть заразила около 14 000 устройств и использует механизм обмена узлами на основе протокола распределённой хеш-таблицы Kademlia.

Специалисты советуют владельцам маршрутизаторов своевременно обновлять прошивку, менять стандартные пароли администратора и отключать удалённое управление, если такая функция не используется. Старые модели устройств, для которых производители больше не выпускают обновления, лучше заменить.