Authorities Disrupt SocksEscort Proxy Botnet Exploiting 369,000 IPs Across 163 Countries

1 minute de lecture

Mis à jour : March 13, 2026

Démantèlement du botnet SocksEscort : une infrastructure de proxy malveillants neutralisée

Une opération internationale (Opération Lightning) a permis de démanteler SocksEscort, un service criminel louant des accès à environ 369 000 adresses IP résidentielles compromises dans 163 pays. Ce réseau, utilisé pour des fraudes financières, des attaques par déni de service (DDoS) et la distribution de contenus illégaux, était piloté par le malware AVrecon.

Points clés :

Fonctionnement : Le service permettait à des clients d’utiliser des routeurs domestiques et de petites entreprises comme serveurs proxy pour masquer leur origine et contourner les listes de blocage.
Impact : Les autorités ont saisi 34 domaines, 23 serveurs et gelé 3,5 millions de dollars en cryptomonnaies.
Persistance : Le malware AVrecon modifiait le firmware des routeurs pour assurer sa persistance au démarrage tout en verrouillant les fonctionnalités de mise à jour de l’appareil.
Cibles : Environ 1 200 modèles de routeurs (marques : Cisco, D-Link, Hikvision, Mikrotik, NETGEAR, TP-Link, Zyxel) équipés de processeurs MIPS et ARM.

Vulnérabilités :

Les infections exploitent des failles critiques de type Remote Code Execution (RCE) et injection de commande au sein des modems et routeurs SOHO (Small Office/Home Office). Bien que des CVE spécifiques ne soient pas listées, l’exploitation vise principalement des vulnérabilités connues non corrigées sur des modèles anciens ou non mis à jour.

Recommandations :

Mises à jour : Appliquer immédiatement les dernières mises à jour de firmware fournies par les constructeurs.
Sécurisation des accès : Désactiver l’administration à distance (Remote Management) sur les routeurs et modifier les identifiants d’administration par défaut par des mots de passe forts.
Redémarrage et réinitialisation : En cas de comportement suspect, effectuer une réinitialisation d’usine (Factory Reset) et, si possible, reflasher le firmware via une source officielle et sécurisée.
Segmentation : Isoler les appareils IoT et les équipements réseau des systèmes critiques autant que possible.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Authorities Disrupt SocksEscort Proxy Botnet Exploiting 369,000 IPs Across 163 Countries

Démantèlement du botnet SocksEscort : une infrastructure de proxy malveillants neutralisée

Partager sur

Vous pourriez aimer

Veeam Patches 7 Critical Backup & Replication Flaws Allowing Remote Code Execution

Vulnérabilités critiques dans Veeam Backup & Replication

Storm-2561 Spreads Trojan VPN Clients via SEO Poisoning to Steal Credentials

Campagne de vol d’identifiants VPN par Storm-2561 via SEO Poisoning

Starbucks discloses data breach affecting hundreds of employees

Violation de données chez Starbucks : 889 comptes employés compromis

RIP RegPwn

RegPwn : Élévation de privilèges via les fonctionnalités d’accessibilité Windows