Una operación policial internacional autorizada por un tribunal ha desmantelado un servicio de representación criminal llamado Calcetines Escort que convirtió a miles de enrutadores residenciales en todo el mundo en una red de bots para cometer fraudes a gran escala.
«SockseEscort infectó los enrutadores de Internet domésticos y de pequeñas empresas con malware», dijo el Departamento de Justicia (DoJ) de EE. UU. dijo . «El malware permitió a SockseEscort dirigir el tráfico de Internet a través de los enrutadores infectados. SockseEscort vendió este acceso a sus clientes».
Se dice que SockseEscort («socksescort [.] com») ofreció vender el acceso a unas 369 000 direcciones IP diferentes en 163 países desde el verano de 2020, y el servicio incluía casi 8 000 enrutadores infectados en febrero de 2026. De ellas, 2.500 estaban ubicadas en EE. UU.
En diciembre de 2025, el sitio web de SockseEscort afirmaba ofrecer «IP residenciales estáticas con ancho de banda ilimitado» y que podían eludir las listas de bloqueo de spam. Anunciaba más de 35.900 servidores proxy de 102 países, y un conjunto de 30 servidores proxy costaba 15 dólares al mes. Un paquete para 5000 proxies costaba 200 dólares al mes.
adsenseEl objetivo final de servicios como SockseEscort es permitir a los clientes que pagan canalizar el tráfico de Internet a través de dispositivos comprometidos sin que la víctima lo sepa, ofreciéndoles una forma de integrarse y dificultar la diferenciación entre el tráfico malintencionado y la actividad legítima ocultando sus verdaderas direcciones IP y ubicaciones.
Algunas de las víctimas que fueron defraudadas como parte de planes realizados con SockseEscort fueron un cliente de una bolsa de criptomonedas que vivía en Nueva York y fue defraudado con criptomonedas por valor de 1 millón de dólares; una empresa manufacturera en Pensilvania a la que se defraudó con 700 000 dólares; y militares estadounidenses actuales y anteriores con tarjetas MILITARY STAR que fueron defraudados con 100 000 dólares.
En un anuncio coordinado, Europol dijo que la iniciativa, denominada Operación Relámpago, involucró a autoridades de Austria, Bulgaria, Francia, Alemania, Hungría, los Países Bajos, Rumania y los EE. UU. El ejercicio de interrupción ha provocado la eliminación de 34 dominios y 23 servidores ubicados en siete países. Se ha congelado un total de 3,5 millones de dólares en criptomonedas.
«Estos dispositivos, principalmente enrutadores residenciales, fueron explotados para facilitar diversas actividades delictivas, como el ransomware, los ataques DDoS y la distribución de material de abuso sexual infantil (CSAM)», dijo Europol dijo . «Los dispositivos comprometidos se infectaron a través de una vulnerabilidad en los módems residenciales de una marca específica».
«Para acceder al servicio de proxy, los clientes tenían que usar una plataforma de pago que permitía comprar el servicio de forma anónima utilizando criptomonedas. Se estima que esta plataforma de pago recibió más de 5 millones de euros de clientes de servicios de proxy».
SocksEscort fue alimentados por un malware conocido como Avrecon , cuyos detalles fueron documentados públicamente por Lumen Black Lotus Labs en julio de 2023. Sin embargo, se considera que está activo al menos desde mayo de 2021. Se estima que el servicio de proxy ha afectado a 280 000 direcciones IP distintas a principios de 2025.
Además de convertir un dispositivo infectado en un proxy residencial de SockseEscort, AvRecon está equipado para establecer un shell remoto en un servidor controlado por un atacante y actuar como cargador descargando y ejecutando cargas útiles arbitrarias. El malware está dirigido a aproximadamente 1200 modelos de dispositivos fabricados por Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link y Zyxel.
enlaces«La gran mayoría de los dispositivos observados infectados con el malware AvRecon son enrutadores para pequeñas oficinas y oficinas domésticas (SOHO) infectados por vulnerabilidades críticas como la ejecución remota de código (RCE) y la inyección de comandos», dijo la Oficina Federal de Investigaciones de los EE. UU. dijo en una alerta. «El malware AvReCon está escrito en lenguaje C y se dirige principalmente a dispositivos MIPS y ARM».
Para lograr la persistencia, se ha observado que los actores de amenazas utilizan el mecanismo de actualización integrado en el dispositivo para mostrar una imagen de firmware personalizada que contiene una copia de AvRecon, que está codificada para ejecutarla al iniciar el dispositivo. El firmware modificado también desactiva las funciones de actualización y flasheo del dispositivo, lo que provoca que los dispositivos se infecten permanentemente.
«Esta botnet representaba una amenaza importante, ya que se comercializaba exclusivamente para delincuentes y estaba compuesta únicamente por dispositivos periféricos comprometidos», dijo el equipo de Black Lotus Labs dijo . «Durante los últimos años, SockseEscort mantuvo un tamaño promedio de aproximadamente 20 000 víctimas distintas por semana, y las comunicaciones se dirigieron a través de un promedio de 15 nodos de comando y control (C2)».
Fuentes de Información: THEHACKERNEWS