Eine koordinierte Aktion von Strafverfolgungsbehörden in den USA und Europa, unterstützt von Experten aus der Privatwirtschaft, hat den kommerziellen Proxy-Dienst SocksEscort außer Betrieb gesetzt. Der Dienst basierte auf einem großangelegten Proxy-Botnet kompromittierter Linux-Router, die mit der Malware AVRecon infiziert waren. Die Operation markiert einen wichtigen Schritt im Kampf gegen den florierenden Schattenmarkt für Residential Proxies und die systematische Ausnutzung von Endkunden-Netzwerkgeräten.
Internationale Operation gegen SocksEscort und seine Infrastruktur
Nach Angaben von Black Lotus Labs, der Forschungseinheit von Lumen, die das US-Justizministerium technisch unterstützte, waren in der Infrastruktur von SocksEscort über Jahre hinweg wöchentlich im Schnitt rund 20 000 aktive infizierte Geräte eingebunden. Obwohl der Dienst erst 2023 öffentlich detailliert beschrieben wurde, war er Schätzungen zufolge mehr als ein Jahrzehnt operativ – ein Hinweis auf die Professionalität und Anpassungsfähigkeit der Betreiber.
Die europäische Koordination übernahm Europol; Einsatzkräfte aus Österreich, Frankreich und den Niederlanden waren direkt beteiligt. Insgesamt wurden 34 Domains und 23 Server in sieben Ländern beschlagnahmt. In den USA froren Ermittler zudem rund 3,5 Millionen US-Dollar in Kryptowährungen ein, die der Infrastruktur von SocksEscort zugeordnet werden. Damit wurde sowohl die technische Kommandostruktur als auch die finanzielle Basis der Gruppe gezielt getroffen.
Geschäftsmodell: Kommerzieller Proxy-Dienst auf gekaperten Heimroutern
SocksEscort trat nach außen als legitimer, kostenpflichtiger Proxy-Dienst auf, der Kriminellen Zugang zu IP-Adressen von Privathaushalten und kleinen Unternehmen verkaufte. Besonders nachgefragt waren „saubere“ IPs großer US-Provider wie Comcast, Spectrum, Verizon und Charter. Solche Anschlüsse verfügen über einen hohen Vertrauensbonus in Blacklists und Anti-Betrugssystemen und werden daher deutlich seltener blockiert.
Zwischen Sommer 2020 und der Zerschlagung soll SocksEscort laut US-Justizministerium Zugang zu rund 369 000 eindeutigen IP-Adressen verkauft haben. Im Februar 2026 listete die Client-Software des Dienstes etwa 8000 kompromittierte Router als verfügbare Proxies, davon rund 2500 in den USA. Diese verteilte Architektur erschwerte klassische Sperrmaßnahmen erheblich und ermöglichte Angreifern ein hohes Maß an Anonymität.
AVRecon: Linux-Malware als Basis des Proxy-Botnetzes
Infektionskette und geografische Verteilung des Botnetzes
Technische Grundlage des Botnetzes war die Linux-Malware AVRecon, die auf Router und andere netzwerkfähige Geräte abzielt. Laut Analysen von Lumen ist AVRecon mindestens seit Mai 2021 aktiv und hatte bis Mitte 2023 bereits über 70 000 Router kompromittiert. Seit Anfang 2025 wurden mehr als 280 000 eindeutige Opfer-IP-Adressen im Kontext des Botnetzes beobachtet.
Bemerkenswert ist, dass das Wachstum des Botnetzes ausschließlich auf AVRecon zurückging und keine Überschneidungen mit anderen bekannten Botnetzen festgestellt wurden. Die Infrastruktur war damit klar auf SocksEscort zugeschnitten. Mehr als die Hälfte der infizierten Geräte befand sich in den USA und Großbritannien – Regionen mit hoher Breitbanddurchdringung, in denen Standard-Heimrouter besonders häufig unzureichend gehärtet sind.
Residential Proxies als Einfallstor zur Umgehung von Schutzmechanismen
Über kompromittierte Heimrouter bereitgestellte Residential Proxies sind auf Untergrundmärkten sehr begehrt. Der von diesen IP-Adressen ausgehende Datenverkehr wirkt für Banken, Kryptobörsen und Online-Plattformen wie normale Aktivität privater Nutzer. Dadurch lassen sich Geoblocking, Betrugserkennung und Bot-Filter häufig umgehen. Angreifer kombinieren gestohlene Zugangsdaten, Social Engineering und den „vertrauenswürdigen“ Anschein von Wohnanschlüssen, um Konten zu übernehmen, gefälschte Profile zu erstellen oder Sperren zu umgehen.
Konkrete Schadensfälle und finanzielle Dimension
Die Infrastruktur von SocksEscort wurde nach Angaben des US-Justizministeriums unter anderem genutzt, um einem Einwohner von New York Kryptowährungen im Wert von rund 1 Million US-Dollar zu entwenden. In einem weiteren Fall wurde eine Produktionsfirma in Pennsylvania über denselben Dienst um etwa 700 000 US-Dollar betrogen. Ein separater Vorfall betrifft die missbräuchliche Nutzung von MILITARY STAR-Karten, bei der aktuellen und ehemaligen US-Militärangehörigen rund 100 000 US-Dollar entzogen wurden.
Diese Beispiele zeigen typische Einsatzszenarien von Proxy-Botnetzen: Die eigentlichen Opfer – Privatpersonen, Unternehmen oder Behörden – sehen legitime Logins und Transaktionen von scheinbaren Heimanschlüssen. Gleichzeitig bleibt oft unbemerkt, dass der eigene Heim- oder Büro-Router Teil der Angriffs- und Verschleierungskette ist.
Grenzen rein technischer Gegenmaßnahmen und Handlungsempfehlungen
Akteure aus dem Privatsektor hatten bereits vor der aktuellen Abschaltung versucht, das Botnet zu stören. So neutralisierten Spezialisten von Lumen AVRecon zeitweise, indem sie die Routen zu den Command-&-Control-Servern in ihrem Backbone auf Null setzten und damit die Kommunikation zwischen Bots und Steuerungsinfrastruktur unterbrachen. Die Betreiber von SocksEscort konnten jedoch neue Infrastruktur aufbauen, was die Begrenztheit rein netzbasierter Maßnahmen ohne rechtliche Beschlagnahmung und finanzielle Austrocknung deutlich macht.
Für Betreiber von Heim- und kleinen Büro-Routern lassen sich aus dem Fall klare Lehren ableiten. Zu den wichtigsten Maßnahmen gehören: regelmäßige Firmware-Updates, das Ändern von Standardpasswörtern, das Deaktivieren unnötiger Remote-Management-Funktionen, der Einsatz starker, einzigartiger Kennwörter und – wo verfügbar – die Aktivierung automatischer Sicherheitsupdates. Zusätzlich kann ein einfaches Monitoring der eigenen Netzwerkaktivität sowie die Rücksprache mit dem Internetprovider oder Fachpersonal bei Verdacht auf Anomalien helfen.
Der Fall SocksEscort unterstreicht, dass Heimrouter heute sicherheitskritische Systeme sind und mit der gleichen Sorgfalt wie Laptops oder Smartphones geschützt werden müssen. Wer seine Geräte aktuell hält, Zugänge konsequent absichert und grundlegende „digitale Hygiene“ praktiziert, reduziert nicht nur das eigene Risiko, sondern verhindert auch, unbewusst Teil krimineller Infrastrukturen wie Proxy-Botnetzen zu werden. Es lohnt sich, die Sicherheit des eigenen Netzwerks regelmäßig zu überprüfen und das Thema Cybersicherheit aktiv im Blick zu behalten.
