Les autorités américaines et européennes annoncent le démantèlement de « SocksEscort », un service de proxys utilisé par des cybercriminels pour masquer l’origine de leurs activités en ligne. L’infrastructure reposait sur un vaste réseau de routeurs compromis à travers le monde, transformés en relais anonymisants pour des opérations de fraude et d’attaques.
Une plateforme de proxys au service de la cybercriminalité
Le département de la Justice américain indique avoir saisi plusieurs domaines et serveurs associés à « SocksEscort », une plateforme qui commercialisait l’accès à des proxys résidentiels. Ces services permettent à leurs utilisateurs de faire transiter leur trafic avec des connexions Internet appartenant à des particuliers ou à de petites entreprises, donnant l’apparence d’une activité légitime. Dans le cas de « SocksEscort », cette infrastructure aurait été utilisée pour diverses activités frauduleuses, notamment la dissimulation d’attaques automatisées, des campagnes de fraude en ligne ou encore le contournement de mécanismes de sécurité.
L’opération a été menée avec le soutien d’Europol, d’Eurojust et de plusieurs autorités nationales, dont celles de la France et des Pays-Bas.
Des centaines de milliers d’équipements exploités
Les analyses menées par les chercheurs et les autorités suggèrent une infrastructure particulièrement étendue. Certaines estimations évoquent plus de 360 000 adresses IP compromises dans plus de 160 pays. Ces réseaux de proxys résidentiels sont recherchés dans l’écosystème cybercriminel car ils permettent d’utiliser des connexions Internet réelles, souvent difficiles à distinguer d’un trafic légitime par les systèmes de détection. Selon plusieurs rapports, la plateforme aurait généré plusieurs millions de dollars en vendant l’accès à ces proxys à différents groupes criminels.
Le rôle du malware AVRecon
Les investigations relient ce réseau à AVRecon, un malware ciblant les routeurs et équipements réseau sous Linux. Identifié dès 2023 par les chercheurs de Black Lotus Labs, ce programme permet d’infecter discrètement des équipements connectés et de les intégrer à une infrastructure de proxys. Une fois compromis, ces routeurs peuvent rediriger du trafic pour le compte d’acteurs malveillants, servir de relais pour des attaques ou participer à des campagnes de fraude à grande échelle.
Cette approche permet aux cybercriminels de bâtir des infrastructures très distribuées, reposant sur des équipements souvent mal surveillés.
Les routeurs domestiques, maillon faible persistant
L’affaire met une nouvelle fois en lumière la vulnérabilité des équipements réseau domestiques et des petites infrastructures. Routeurs grand public et équipements de petites entreprises restent souvent insuffisamment mis à jour ou configurés avec des paramètres de sécurité faibles. Ces appareils constituent ainsi une cible privilégiée pour les campagnes d’infection automatisées.
Pour les entreprises, ces infrastructures périphériques représentent également un risque indirect. Utilisées comme relais anonymisants, elles permettent aux attaquants de masquer l’origine réelle de leurs opérations et compliquent le travail d’attribution et de blocage des attaques.
