Le réseau SocksEscort démantelé après avoir détourné 369 000 IP dans 163 pays

369 000 adresses IP revendues comme des « proxies résidentiels », dans 163 pays, pour masquer des attaques et des fraudes. Le service SocksEscort vient d’être perturbé par une opération judiciaire internationale, avec saisie de 34 domaines, mise hors ligne de 23 serveurs et gel de 3,5 millions de dollars en cryptomonnaies.

Ce que tu dois retenir, c’est la mécanique, des routeurs domestiques et de petites entreprises compromis, puis loués à des clients qui cherchent de l’anonymat et du débit. Les autorités décrivent un usage pour des attaques ransomware, des campagnes DDoS et la diffusion de contenus illégaux, dont du CSAM. Et le plus gênant, c’est que les propriétaires des modems n’avaient souvent aucun signe visible.

Europol et le DoJ coordonnent l’opération Lightning

L’action, baptisée Operation Lightning, a mobilisé des autorités en Autriche, France, Pays-Bas, Allemagne, Bulgarie, Hongrie, Roumanie et aux États-Unis. Le résultat concret, ce sont 34 domaines saisis et 23 serveurs neutralisés dans sept pays, un coup porté à l’infrastructure qui permettait de piloter et de monétiser le réseau.

Le gel de 3,5 M$ en cryptomonnaies vise l’argent au cur du système. Les enquêteurs indiquent aussi que la plateforme de paiement liée au service aurait reçu environ 5,8 M$ de clients. Pour te donner une idée, on n’est pas sur un « hobby » d’administrateur réseau, c’est un marché structuré, avec des offres, des volumes, et une logistique pensée pour durer, ce qui explique la dimension judiciaire et internationale.

Dans ce type de dossier, le privé pèse lourd, et là il a été explicitement associé. Lumen Black Lotus Labs et la Shadowserver Foundation ont apporté des éléments techniques, indispensables pour cartographier un botnet et identifier ses nuds. Un ingénieur sécurité de Black Lotus Labs, Ryan English, souligne que l’infrastructure de commande et contrôle est restée longtemps sous le radar de nombreux outils, un rappel utile, la détection n’est pas automatique, même quand le volume est massif.

AVRecon a infecté des routeurs et objets connectés à grande échelle

Le botnet reposait sur un malware nommé AVRecon, ciblant des routeurs et des objets connectés. Les autorités parlent d’une infection via une vulnérabilité touchant des modems résidentiels d’une marque non nommée. Le point clé, c’est que ces appareils deviennent des relais, ton trafic ne « part » plus de chez toi pour toi, il peut servir de sortie à quelqu’un d’autre, avec ton IP comme façade.

Sur l’ampleur, les chiffres donnent le vertige. Le service affirme avoir proposé l’accès à environ 369 000 IP différentes depuis l’été 2020. En février 2026, la vitrine commerciale listait près de 8 000 routeurs infectés disponibles, dont 2 500 situés aux États-Unis, soit plus d’un quart. Tu vois la logique, un stock « actif » affiché, et un historique d’IP beaucoup plus large, au gré des infections et des nettoyages.

Les chercheurs décrivent aussi un rythme soutenu. Black Lotus Labs évoque une taille moyenne d’environ 20 000 victimes distinctes par semaine depuis début 2024, avec des communications passant par une quinzaine de nuds de commande et contrôle. Le pic mentionné remonte à janvier 2025, avec plus de 15 000 victimes quotidiennes. Dit autrement, même si tu désinfectes une partie du parc, l’opérateur peut compenser par de nouvelles prises.

SocksEscort vendait des « IP résidentielles » pour masquer fraudes et attaques

Le modèle commercial de SocksEscort était limpide, vendre des proxies résidentiels avec bande passante annoncée comme illimitée, et la promesse de contourner des listes anti-spam. Les tarifs affichés donnent une idée de l’industrialisation, un lot de 30 proxies à 15 $ par mois, et jusqu’à 5 000 proxies pour 200 $ mensuels. C’est peu cher pour acheter de l’anonymat, et c’est précisément le problème.

Les autorités relient ce type de relais à des usages lourds, attaques DDoS, déploiements ransomware, diffusion de contenus illégaux, dont du CSAM. Concrètement, un attaquant peut lancer une extorsion ou une fraude en « sortant » d’un routeur domestique, ce qui complique l’attribution. Et le DoJ insiste sur un impact financier, des Américains et des entreprises américaines auraient perdu des millions de dollars via des fraudes facilitées par ce réseau.

Nuance importante, couper des serveurs et saisir des domaines ne répare pas tout d’un claquement de doigts. Les appareils compromis restent un enjeu, ils doivent être corrigés et sécurisés, sinon d’autres acteurs peuvent les réinfecter. C’est là que la critique est utile, l’écosystème des routeurs grand public traîne souvent, mises à jour rares, mots de passe faibles, interfaces exposées. Tant que ces habitudes restent, des services similaires à SocksEscort peuvent réapparaître sous un autre nom, avec la même promesse de « couverture numérique ».