- Ação conjunta do Departamento de Justiça dos EUA e da Europol desmontou a rede SocksEscort, que infectou novecentos e sessenta e nove mil dispositivos em cento e sessenta e três países, incluindo roteadores e dispositivos de IoT, com malware AVRecon para alugar endereços limpos a criminosos.
- A operação vinha infectando cerca de vinte mil dispositivos novos por semana desde o início de 2024, com receita estimada de cerca de $5,8 milhões ao longo de sua atuação.
- Uma vítima em Nova York perdeu aproximadamente $1 milhão em criptomoedas após usar o proxy SocksEscort.
- Oito países participaram da operação Lightning, entre eles França, Alemanha e Holanda, indicando coordenação para atingir a infraestrutura que facilita crimes com criptomoedas.
- A queda da rede aumenta a pressão regulatória sobre exchanges e serviços de mixagem: plataformas estão verificando se o tráfego vem de ISPs legítimos e não de botnets comprometidos, enquanto novas ações judiciais devem surgir.
O Departamento de Justiça dos EUA, em cooperação com a Europol, desmantelou a rede de proxies ligada ao SocksEscort, usada para ocultar operações criminosas na internet. A ação ocorreu em operação coordenada envolvendo oito países, incluindo França, Alemanha e Países Baixos, e resultou na interrupção de um serviço que operava desde 2024. A rede ficou conhecida por infectar dispositivos e alugar endereços de IP para fraudar bancos e corretoras de criptomoedas.
A operação rastreou e removeu a infraestrutura que permitia a ocultação de transações ilícitas. No total, a rede tinha 369 mil dispositivos comprometidos em 163 países, incluindo routers, dispositivos IoT e trafego residencial. Os aparelhos eram infectados com o malware AVRecon e disponibilizados para criminosos que precisavam de endereços de IP limpos para burlar detecção de fraudes.
Estima-se que a rede gerou receita de aproximadamente 5,8 milhões de dólares ao longo de sua existência. Um caso específico de vítima ocorreu em Nova York, com perda de cerca de 1 milhão de dólares em criptomoedas via proxy SocksEscort. Além disso, a operação resultou na coleta de dados de transações mantidos pelos servidores apreendidos.
A ofensiva, denominada Lightning, contou com a cooperação entre autoridades americanas e europeias, além de parcerias internacionais. A atuação não se limitou a perseguição de criminosos isolados, mas atingiu a infraestrutura que viabilizava crimes com criptomoedas, segundo autoridades. O objetivo é reduzir a evasão de rastreabilidade.
O FBI informou que milhares de usuários registrados no SocksEscort ficaram expostos a investigações e potenciais acusações futuras. A rede tinha cerca de 124 mil usuários cadastrados, que simulavam tráfego residencial para driblar mecanismos de fraude em exchanges e serviços de carteira de criptomoedas.
Para as plataformas de câmbio e mixers, o caso aumenta a pressão regulatória. Reguladores buscam diferenciar ferramentas de privacidade legítimas de infraestruturas usadas para evasão. Plataformas compatíveis já buscam verifyar que o tráfego vem de ISPs legítimos, não de botnets comprometidos.
SocksEscort foi desativada pela ação, mas a trilha forense deixada pela operação está apenas começando a ser analisada. As autoridades afirmam que novas ações podem seguir contra indivíduos e entidades envolvidas, com foco na responsabilização pela infraestrutura criminosa.
Entre na conversa da comunidade