Europol gèle 3,5 millions de dollars en crypto lors d'une répression mondiale démantèlant un immense botnet de proxy

Principaux enseignements :

• Europol et d’autres agences de police ont démantelé le réseau de proxy SocksEscort qui s’était étendu à plus de 369 000 routeurs et appareils IoT dans le monde entier.
• Les autorités ont confisqué 34 domaines, 23 serveurs et également gelé pour 3,5 millions de dollars en cryptomonnaies liées à l’opération.
• Le service malveillant vendait un accès proxy payé en crypto, générant plus de 5 millions d’euros auprès des clients.

Les autorités européennes et américaines ont démantelé une grande infrastructure de cybercriminalité qui s’appuyait sur des routeurs domestiques infectés et des appareils IoT. Cette opération coordonnée a permis de traquer un service de proxy largement utilisé par de nombreux criminels pour dissimuler leurs traces lors d’attaques sur Internet.

Elle illustre la connexion croissante entre paiements en crypto, technologies décentralisées et enquêtes de cybersécurité internationales.

Table des matières

• Opération internationale ciblant le réseau SocksEscort
• Routeurs infectés par des malwares alimentant un botnet mondial
  • Vulnérabilités permettant une exploitation à grande échelle
• Europol coordonne le renseignement et le suivi des crypto-monnaies

Opération internationale ciblant le réseau SocksEscort

Les agences de police en Europe et aux États-Unis ont lancé une campagne coordonnée nommée Opération Lightning le 11 mars 2026. Cette opération vise à démanteler la plateforme de proxy appelée SocksEscort. Selon les enquêteurs, elle exploitait des vulnérabilités dans des routeurs domestiques.

Les autorités compétentes ont identifié que ce réseau avait accédé à plus de 369 000 appareils dans 163 pays. Ces routeurs et appareils IoT infectés ont été utilisés pour fournir des connexions proxy anonymes à des clients payants.

Lors de l’intervention, les enquêteurs ont saisi 34 noms de domaine et 23 serveurs situés dans sept pays. Parallèlement, les autorités américaines ont gelé environ 3,5 millions de dollars en cryptomonnaies liées au service.

Les responsables ont également déconnecté les modems infectés du réseau, coupant ainsi l’accès au système de proxy utilisé par les clients criminels.

En savoir plus : Coinbase lance des contrats à terme cryptographiques réglementés dans 26 marchés européens avec un effet de levier 10x

Routeurs infectés par des malwares alimentant un botnet mondial

L’enquête a été lancée en juin 2025 par le Groupe d’action cybernétique conjoint (J-CAT) d’Europol. Les analystes ont découvert un botnet massif constitué d’appareils compromis, majoritairement des routeurs domestiques.

Vulnérabilités permettant une exploitation à grande échelle

Les malfaiteurs ont identifié une vulnérabilité d’une marque de modem spécifique, découverte par les enquêteurs. Un malware installé sur ces appareils les transformait silencieusement en nœuds d’un réseau proxy mondial.

Une fois infectés, les routeurs permettaient aux criminels de faire transiter le trafic Internet via les adresses IP des utilisateurs innocents. Les propriétaires des appareils n’avaient généralement aucune idée que leur connexion Internet était utilisée pour des activités illégales.

Ce réseau de proxy a permis une gamme de crimes, notamment des opérations de ransomware, des attaques par déni de service distribué (DDoS) et la diffusion de contenus illégaux.

Les clients payaient pour obtenir des licences d’accès à cette infrastructure proxy. Les paiements étaient effectués via une plateforme permettant des transactions anonymes en cryptomonnaie.

Les autorités indiquent que le système de paiement basé sur ce proxy a également collecté plus de 5 millions d’euros en crypto, envoyés par les utilisateurs.

En savoir plus : La réalité de MiCA : les pays de l’UE prêts à prendre la tête de la licence CASP dans la nouvelle ère

Europol coordonne le renseignement et le suivi des crypto-monnaies

Le principal acteur était Europol, qui a dirigé l’enquête. Ils ont aidé à coordonner le partage d’informations, l’inspection de malwares, la surveillance du trafic et le traçage des crypto-monnaies entre les agences partenaires. Lors de l’opération, un Poste de Commandement Virtuel a été mis en place au siège d’Europol à La Haye pour assurer une communication fluide entre les pays impliqués.

Les autorités participantes comprenaient des forces de police d’Autriche, de France, des Pays-Bas, d’Allemagne, de Hongrie, de Roumanie et des États-Unis, entre autres. Les agences américaines impliquées comprenaient le Département de la Justice, le FBI et l’IRS Criminal Investigation.