Une vaste opération internationale a permis de démanteler SocksEscort, un service proxy utilisé par des cybercriminels pour dissimuler leur identité lors d’activités frauduleuses, notamment des piratages de comptes de cryptomonnaies. Les autorités américaines et européennes annoncent avoir saisi l’infrastructure numérique du réseau et gelé plusieurs millions de dollars en actifs numériques.
Un réseau mondial de proxies contrôlant des centaines de milliers d’appareils
Selon le département de la Justice américain (DOJ), la plateforme SocksEscort avait compromis au moins 369 000 routeurs et appareils connectés dans 163 pays.
Ces appareils étaient utilisés comme proxies afin de masquer l’adresse IP réelle des cybercriminels.
Ce type d’infrastructure permet aux attaquants d’opérer en ligne tout en rendant leur traçabilité beaucoup plus difficile.
Le service aurait été utilisé depuis 2020 pour mener différentes activités illégales, dont des fraudes bancaires et des piratages de comptes crypto.
Les procureurs citent notamment le cas d’une victime à New York ayant perdu environ un million de dollars en cryptomonnaies à la suite d’une attaque.
Des millions de dollars saisis lors de l’opération
Dans le cadre de l’opération, les autorités ont saisi 34 noms de domaine et perturbé environ deux douzaines de serveurs répartis dans sept pays.
En parallèle, environ 3,5 millions de dollars en cryptomonnaies liés au réseau ont été gelés.
L’enquête montre également que les clients du service payaient l’accès à la plateforme de manière anonyme grâce aux cryptomonnaies.
Selon Europol, le réseau aurait généré au moins 5 millions d’euros, soit environ 5,7 millions de dollars, provenant de ses utilisateurs.
La directrice exécutive d’Europol, Catherine De Bolle, explique que ces services proxy fournissent aux criminels la couverture numérique nécessaire pour lancer des attaques, diffuser des contenus illégaux et échapper à la détection.
Une opération coordonnée entre plusieurs pays
Le démantèlement de SocksEscort est le résultat d’une collaboration entre plusieurs agences internationales.
Les forces de l’ordre d’Autriche, de France, des Pays-Bas, d’Allemagne, de Hongrie, de Roumanie et des États-Unis ont participé à l’opération.
Aux États-Unis, plusieurs organismes ont contribué à l’enquête, dont le bureau du FBI de Sacramento, le service d’enquête criminelle du département de la Défense et l’IRS Criminal Investigation.
Europol et Eurojust ont apporté un soutien opérationnel et judiciaire pour coordonner cette opération transfrontalière.
Les enquêteurs ont également bénéficié de renseignements techniques fournis par Black Lotus Labs, l’unité de renseignement sur les menaces de l’opérateur télécom Lumen Technologies, ainsi que par l’organisation à but non lucratif Shadowserver Foundation.
Un malware au cœur de l’infrastructure
Selon le média spécialisé The Hacker News, le réseau reposait sur un logiciel malveillant appelé AVrecon.
Ce malware infectait des routeurs et appareils connectés afin de les transformer en nœuds proxy utilisables par les cybercriminels.
Les détails techniques de ce programme avaient déjà été rendus publics en juillet 2023 par Black Lotus Labs, ce qui a contribué aux investigations.
