Aparat penegak hukum dari Amerika Serikat dan sejumlah negara Eropa berhasil mengganggu operasi jaringan proxy kriminal SocksEscort, yang selama bertahun-tahun memanfaatkan perangkat jaringan berbasis Linux yang telah terinfeksi malware.
Operasi penindakan ini dilakukan bersama mitra sektor swasta, termasuk peneliti dari Black Lotus Labs milik Lumen Technologies, yang membantu U.S. Department of Justice (DOJ) dalam membongkar infrastruktur jaringan tersebut.
Menggunakan Ribuan Perangkat yang Terinfeksi
Menurut peneliti Black Lotus Labs, jaringan SocksEscort secara konsisten mengoperasikan sekitar 20.000 perangkat yang terinfeksi setiap minggu selama beberapa tahun terakhir.
Layanan ini pertama kali didokumentasikan pada 2023, namun diketahui telah beroperasi lebih dari satu dekade.
SocksEscort menyediakan layanan proxy anonim bagi pelaku kejahatan siber dengan memanfaatkan perangkat jaringan rumah atau bisnis kecil yang telah diretas.
Layanan ini memasarkan akses ke alamat IP yang terlihat “bersih” dari penyedia internet besar seperti:
- Comcast
- Spectrum
- Spectrum Business
- Verizon
- Charter
Alamat IP tersebut digunakan untuk mengalihkan lalu lintas jaringan berbahaya sehingga dapat melewati berbagai sistem pemblokiran.
Ratusan Ribu Alamat IP Pernah Ditawarkan
Menurut DOJ, sejak 2020 layanan SocksEscort menawarkan akses ke sekitar 369.000 alamat IP berbeda.
Pada Februari 2026, aplikasi SocksEscort tercatat memiliki sekitar 8.000 router yang terinfeksi, dengan sekitar 2.500 di antaranya berada di Amerika Serikat.
Digunakan untuk Berbagai Kejahatan Siber
Jaringan proxy ini diketahui digunakan dalam berbagai aktivitas kriminal, termasuk:
- Pencurian cryptocurrency senilai 1 juta dolar AS dari seorang pengguna di New York
- Penipuan terhadap perusahaan manufaktur di Pennsylvania yang menyebabkan kerugian 700.000 dolar AS
- Penipuan yang menargetkan pemegang kartu MILITARY STAR milik anggota militer AS dengan kerugian sekitar 100.000 dolar AS
Penindakan Internasional
Di Eropa, otoritas dari Austria, Prancis, dan Belanda berhasil menutup sejumlah server SocksEscort dalam operasi yang dikoordinasikan oleh Europol.
Dalam operasi tersebut, aparat berhasil:
- Menyita 34 domain
- Menutup 23 server yang tersebar di tujuh negara
Selain itu, pihak berwenang di Amerika Serikat juga berhasil membekukan sekitar 3,5 juta dolar AS dalam bentuk cryptocurrency yang terkait dengan operasi jaringan tersebut.
Saat ini, semua perangkat yang sebelumnya terhubung ke jaringan SocksEscort telah diputus dari layanan tersebut.
Didukung Malware AVRecon
Jaringan proxy ini dibangun menggunakan malware Linux bernama AVRecon, yang diketahui telah aktif setidaknya sejak Mei 2021.
Malware tersebut menargetkan router small office/home office (SOHO) berbasis Linux dan telah menginfeksi lebih dari 70.000 perangkat hingga pertengahan 2023.
Black Lotus Labs sebelumnya sempat mengganggu operasi botnet AVRecon pada 2023 dengan memutus komunikasi antara perangkat yang terinfeksi dan server command-and-control (C2).
Namun upaya tersebut hanya berdampak sementara, karena operator SocksEscort kemudian memulihkan operasinya dengan menggunakan sekitar 15 server C2 baru.
Ratusan Ribu Korban IP
Sejak awal 2025, peneliti Lumen mencatat sekitar 280.000 alamat IP korban unik yang terinfeksi.
Lebih dari setengah perangkat yang terinfeksi berada di Amerika Serikat dan Inggris, dua wilayah yang memiliki jaringan internet luas dan dianggap ideal untuk menyamarkan lalu lintas berbahaya.
Rekomendasi Keamanan Router
Untuk mengurangi risiko perangkat jaringan diretas dan dimanfaatkan dalam botnet seperti SocksEscort, pengguna disarankan untuk:
- Mengganti router yang sudah mencapai end-of-life
- Menginstal firmware terbaru dari produsen perangkat
- Mengubah kata sandi administrator default
- Menonaktifkan akses remote jika tidak diperlukan
Langkah-langkah tersebut dapat membantu mencegah perangkat jaringan pribadi digunakan oleh pelaku kejahatan siber.