Wichtige Erkenntnisse:
- Europol und andere Strafverfolgungsbehörden haben das SocksEscort-Proxy-Netzwerk zerschlagen, das sich auf über 369.000 Router und IoT-Geräte weltweit ausgebreitet hatte.
- Die Behörden beschlagnahmten 34 Domains, 23 Server und frierten Kryptowährungen im Wert von 3,5 Millionen US-Dollar ein, die mit der Operation in Verbindung standen.
- Der bösartige Dienst verkaufte Proxy-Zugänge gegen Bezahlung mit Kryptowährungen und erzielte damit mehr als 5 Millionen Euro von Kunden.
Europäische und US-amerikanische Behörden haben eine große Cyberkriminalitätsinfrastruktur außer Gefecht gesetzt, die auf infizierten Heimroutern und IoT-Geräten basierte. Diese koordinierte Aktion verfolgte einen Proxy-Dienst, der von vielen Kriminellen genutzt wurde, um ihre Spuren bei Internetangriffen zu verschleiern.
Dies zeigt die zunehmende Verbindung zwischen Krypto-Zahlungen, dezentraler Technologie und internationalen Cybersecurity-Ermittlungen.
Inhaltsverzeichnis
- Internationale Operation zielt auf SocksEscort-Netzwerk ab
- Malware-infizierte Router betrieben globales Botnetz
- Schwachstellen ermöglichten groß angelegte Ausbeutung
- Europol koordiniert Geheimdienst- und Krypto-Tracking
Internationale Operation zielt auf SocksEscort-Netzwerk ab
Strafverfolgungsbehörden in Europa und den USA führten eine koordinierte Kampagne namens Operation Lightning am 11. März 2026 durch. Ziel war die Zerschlagung der Proxy-Plattform namens SocksEscort. Nach Angaben der Ermittler nutzte das Netzwerk Schwachstellen in Haushaltsroutern aus.
Zuständige Behörden stellten fest, dass dieses Netzwerk auf mehr als 369.000 Geräte in 163 Ländern zugegriffen hat. Diese infizierten Router und IoT-Geräte wurden genutzt, um anonymen Proxy-Zugang für zahlende Kunden bereitzustellen.
Während der Aktion beschlagnahmten die Ermittler 34 Domains und 23 Server in sieben Ländern. Gleichzeitig frierten US-Behörden etwa 3,5 Millionen US-Dollar in Kryptowährungen ein, die mit dem Dienst in Verbindung standen.
Beamte trennten außerdem infizierte Modems vom Netzwerk, wodurch der Zugriff auf das Proxy-System, das von Kriminellen genutzt wurde, effektiv unterbunden wurde.
Mehr lesen: Coinbase startet regulierte Krypto-Futures in 26 europäischen Märkten mit 10-fachem Hebel
Malware-infizierte Router betrieben globales Botnetz
Die Untersuchung wurde im Juni 2025 vom Joint Cyberaction Task Force (J-CAT) von Europol eingeleitet. Analysten entdeckten ein riesiges Botnetz, das aus kompromittierten Geräten bestand, überwiegend Heimrouter.
Schwachstellen ermöglichten groß angelegte Ausbeutung
Die Täter fanden eine Schwachstelle bei einer bestimmten Modemmarke, die die Ermittler aufdeckten. Malware, die auf diesen Geräten installiert war, verwandelte sie unbemerkt in Knoten eines globalen Proxy-Netzwerks.
Nach der Infektion konnten die Router Kriminellen erlauben, Internetverkehr über die IP-Adressen ahnungsloser Nutzer zu leiten. Die Gerätebesitzer hatten meist keine Ahnung, dass ihre Internetverbindung für illegale Aktivitäten genutzt wurde.
Das Proxy-Netzwerk ermöglichte eine Reihe von Verbrechen, darunter Ransomware-Operationen, Distributed Denial-of-Service-Angriffe und die Verbreitung illegaler Inhalte.
Kunden zahlten für Lizenzen, um auf die Proxy-Infrastruktur zugreifen zu können. Zahlungen erfolgten über eine Plattform, die anonyme Transaktionen mit Kryptowährungen erlaubte.
Die Behörden geben an, dass das Zahlungssystem auf diesem Proxy auch mehr als 5 Millionen Euro in Kryptowährungen gesammelt hat, die von den Nutzern gesendet wurden.
Mehr lesen: MiCA-Reality: EU-Länder sollen in der neuen Ära die CASP-Lizenzierung anführen
Europol koordiniert Geheimdienst- und Krypto-Tracking
Der führende Akteur war Europol, das die Ermittlungen leitete. Sie unterstützten bei der Abstimmung mit Partneragenturen hinsichtlich Informationsaustausch, Malware-Inspektion, Traffic-Überwachung und Krypto-Tracking. Während des Einsatzes wurde eine virtuelle Einsatzleitung im Hauptquartier von Europol in Den Haag eingerichtet, um einen reibungslosen Informationsaustausch zwischen den beteiligten Ländern zu gewährleisten.
Beteiligte Behörden waren unter anderem Strafverfolgungsbehörden aus Österreich, Frankreich, den Niederlanden, Deutschland, Ungarn, Rumänien und den USA. US-Behörden, die an dem Fall beteiligt waren, umfassen das Justizministerium, das FBI und die IRS Criminal Investigation.
