Serviço criminoso usava roteadores residenciais e de pequenos escritórios infectados para revender tráfego por IPs legítimos, com 369 mil endereços anunciados em 163 países.
| Componente | Serviço de proxy criminoso SocksEscort e malware AVrecon em roteadores residenciais e SOHO |
| Vetor | Infecção de modems e roteadores por vulnerabilidades críticas, incluindo execução remota de código e injeção de comandos, com persistência por firmware modificado |
| Impacto | Túnel de tráfego de clientes criminosos por dispositivos comprometidos, ocultação de origem, suporte a fraudes, DDoS, ransomware e distribuição de conteúdo abusivo |
| Prioridade | Inventariar roteadores expostos, verificar firmware, revisar telemetria de saída e substituir ou regravar dispositivos com sinais de comprometimento persistente |
| Artefatos | Domínio defangado socksescort[.]com, 34 domínios removidos, 23 servidores derrubados em sete países e US$ 3,5 milhões em criptomoedas congelados |
| Escala | Acesso anunciado a cerca de 369 mil IPs em 163 países desde 2020, quase 8 mil roteadores infectados listados em fevereiro de 2026 e média de 20 mil vítimas distintas por semana |
Uma operação internacional autorizada judicialmente desarticulou a infraestrutura do SocksEscort, um serviço de proxy residencial construído sobre roteadores domésticos e de pequenos escritórios infectados. A atividade transformava equipamentos de borda em pontos de retransmissão de tráfego, permitindo que clientes criminosos aparentassem estar navegando a partir de IPs residenciais reais. A operação, chamada Operation Lightning, envolveu autoridades da Áustria, Bulgária, França, Alemanha, Hungria, Países Baixos, Romênia e Estados Unidos, resultando na remoção de 34 domínios, na derrubada de 23 servidores distribuídos em sete países e no congelamento de US$ 3,5 milhões em criptomoedas.
O serviço anunciava acesso a aproximadamente 369 mil endereços IP em 163 países desde o verão de 2020. Em fevereiro de 2026, a plataforma ainda listava quase 8 mil roteadores infectados, dos quais 2,5 mil estavam nos Estados Unidos. Em dezembro de 2025, o site afirmava vender IPs residenciais estáticos com largura de banda sem limite e capacidade de contornar bloqueios por reputação, com pacotes comerciais que iam de pequenos conjuntos de proxies a milhares de nós. Esse modelo é relevante para defesa porque o tráfego malicioso deixa de parecer concentrado em infraestrutura suspeita e passa a sair de redes residenciais ou comerciais legítimas, dificultando bloqueios por geolocalização, ASN ou reputação simples.
A base técnica da botnet foi associada ao AVrecon, malware escrito em C e voltado principalmente a dispositivos MIPS e ARM. Além de converter o roteador em proxy residencial, o código permite estabelecer shell remoto para servidor controlado pelo operador e atuar como carregador de outros payloads. O conjunto de alvos inclui cerca de 1.200 modelos de dispositivos fabricados por Cisco, D-Link, Hikvision, Mikrotik, NETGEAR, TP-Link e Zyxel. A atividade do AVrecon já havia sido documentada publicamente em julho de 2023 e é avaliada como ativa desde pelo menos maio de 2021.
A cadeia operacional começa no comprometimento de roteadores residenciais e SOHO por vulnerabilidades críticas. O contexto técnico disponível cita execução remota de código e injeção de comandos como classes de falha usadas contra esses equipamentos, além de uma vulnerabilidade em modems residenciais de uma marca específica não identificada. Depois da infecção, o dispositivo passa a encaminhar tráfego de terceiros, permitindo que clientes do serviço usem o endereço IP da vítima como saída para atividades fraudulentas ou abusivas. O proprietário do roteador não precisa participar da sessão nem notar uma alteração explícita no uso cotidiano da conexão, o que aumenta o tempo de permanência da botnet.
O AVrecon amplia o risco porque não se limita ao encaminhamento de pacotes. A capacidade de shell remoto dá ao operador uma interface de controle sobre o equipamento comprometido, enquanto a função de carregador permite baixar e executar componentes adicionais. O impacto defensivo, nesse cenário, não é apenas reputacional; o roteador vira um ativo controlado externamente dentro da borda da rede, com potencial para manipular tráfego, manter comunicação com nós de comando e receber novas instruções. A presença de arquitetura MIPS e ARM no alvo também indica foco em equipamentos embarcados, nos quais EDR tradicional raramente está disponível.
A persistência descrita é especialmente problemática. Operadores foram observados usando o mecanismo interno de atualização do dispositivo para gravar uma imagem de firmware customizada contendo o AVrecon. Esse firmware modificado é configurado para executar o malware durante a inicialização e também desativa recursos de atualização e regravação. Na prática, a reinicialização do roteador não remove a infecção e uma tentativa normal de atualização pode falhar ou estar bloqueada. Para resposta a incidente, isso muda o procedimento: restaurar configuração, trocar senha ou reiniciar o equipamento pode ser insuficiente quando a cópia maliciosa está embutida na imagem de firmware.
A superfície exposta concentra-se em roteadores e modems residenciais, equipamentos de pequenos escritórios e dispositivos de borda sem monitoramento profundo. A lista de fabricantes citados mostra que o problema atravessa múltiplas famílias de hardware, mas o contexto não informa versões específicas, CVEs individuais ou modelos afetados por marca. Também há uma declaração de fabricante indicando que alguns equipamentos NETGEAR teriam sido observados nos estágios iniciais da atividade da botnet em 2016, com medidas de correção aplicadas à época e sem indicação de exploração posterior desses equipamentos. Essa informação deve ser tratada como delimitação de risco para essa marca, não como exclusão geral do AVrecon em outros dispositivos.
A infraestrutura comercial do SocksEscort também amplia a superfície de abuso. O serviço era acessado por clientes que podiam pagar anonimamente com criptomoedas por meio de uma plataforma de pagamento que teria recebido mais de 5 milhões de euros de usuários do serviço. Esse arranjo indica uma cadeia com papéis separados: operadores da botnet, infraestrutura de venda, pagamento anônimo e compradores que usavam os proxies para fraude ou outras atividades. Entre os prejuízos descritos estão um cliente de uma corretora de criptomoedas em Nova York fraudado em US$ 1 milhão, uma empresa de manufatura na Pensilvânia fraudada em US$ 700 mil e militares ou ex-militares dos Estados Unidos com cartões MILITARY STAR fraudados em US$ 100 mil.
A botnet também foi associada a ransomware, ataques DDoS e distribuição de material de abuso sexual infantil, além de fraudes em larga escala. Esses usos não significam que cada roteador infectado executou todas essas atividades, mas mostram por que proxies residenciais comprometidos são valiosos para cadeias criminosas: eles fornecem reputação residencial, diversidade geográfica e rotatividade de origem. A operação estimou que o SocksEscort vitimou 280 mil IPs distintos a partir do início de 2025 e manteve média de cerca de 20 mil vítimas distintas por semana, com comunicações roteadas por aproximadamente 15 nós de comando e controle em média.
- Roteadores residenciais e SOHO com arquitetura MIPS ou ARM e firmware vulnerável
- Dispositivos usados como saída de tráfego sem conhecimento do proprietário
- Ambientes com equipamentos de borda sem inventário, atualização validada ou logs de egressos
A investigação defensiva deve começar por sinais de comportamento anormal em roteadores e gateways, especialmente quando esses ativos não deveriam iniciar conexões frequentes para destinos externos incomuns. Como o AVrecon pode manter comunicação com nós de comando e controle e operar como proxy, a telemetria útil inclui fluxos de saída persistentes, volume de conexões incompatível com o perfil do local, destinos distribuídos geograficamente e sessões iniciadas pelo próprio equipamento de borda. Em redes pequenas, a ausência de NetFlow, DNS logging ou firewall centralizado torna a análise mais difícil, então a coleta no provedor, no roteador gerenciado ou no firewall adjacente pode ser necessária.
No endpoint do roteador, quando houver acesso administrativo confiável, sinais relevantes incluem firmware com versão inesperada, falha ao aplicar atualizações, recursos de flashing indisponíveis, mudanças persistentes após reinicialização e processos ou conexões que não correspondem ao firmware oficial. Como o malware pode estar embutido em imagem customizada, uma comparação superficial de configuração pode não revelar a infecção. Para equipamentos suportados, validação por checksum de firmware oficial, regravação por canal confiável e conferência de versão após reinicialização são mais úteis do que apenas revisar parâmetros de administração.
Em controles de identidade e fraude, tráfego vindo de IP residencial não deve ser automaticamente tratado como benigno. As campanhas que usam proxy residencial exploram exatamente essa confiança. Sistemas antifraude, WAF, VPN corporativa e portais de acesso devem correlacionar IP com comportamento, dispositivo, sessão, reputação histórica, velocidade de deslocamento, padrões de autenticação e sinais de automação. A presença de múltiplas contas acessadas por IPs residenciais dispersos, com user agents repetitivos ou cadência transacional semelhante, pode indicar uso de infraestrutura como SocksEscort, mesmo quando cada IP isolado parece legítimo.
- Conexões de saída recorrentes do roteador para destinos externos não reconhecidos
- Firmware que não atualiza, recurso de regravação desativado ou versão divergente do pacote oficial
- Aumento de tráfego proxy, variação incomum de destinos e sessões iniciadas pelo equipamento de borda
- Eventos antifraude com IPs residenciais diversos, mas padrões de sessão, dispositivo ou transação semelhantes
A contenção deve priorizar equipamentos de borda expostos, sobretudo roteadores SOHO sem ciclo regular de atualização. A primeira ação é inventariar fabricante, modelo, versão de firmware, exposição de administração remota e data da última atualização validada. Quando houver suspeita de AVrecon ou comportamento de proxy não autorizado, reinicializar o equipamento não deve ser considerado remediação completa. A persistência por firmware customizado exige regravação por imagem oficial obtida em canal confiável, restauração controlada de configuração e, quando a regravação estiver bloqueada ou não puder ser verificada, substituição física do equipamento.
Após contenção, as equipes devem revisar tráfego de saída do período de possível comprometimento e buscar uso indevido do IP público da organização ou da residência corporativa. Essa revisão é importante para identificar bloqueios por reputação, abuso reportado, acessos fraudulentos associados ao endereço e comunicação com infraestrutura suspeita. Em ambientes corporativos pequenos, também é necessário validar se o roteador comprometido tinha visibilidade sobre segmentos internos, DNS local, VPN, câmeras, dispositivos IoT ou serviços administrativos. O material analisado confirma a função de proxy, shell remoto e loader; portanto, a análise deve considerar a possibilidade de instruções adicionais, sem assumir exfiltração ou movimentação lateral sem evidência própria.
A prevenção depende de reduzir a vida útil de vulnerabilidades em dispositivos que costumam ficar fora do programa formal de correção. Administração remota deve permanecer desativada quando não houver necessidade operacional, senhas padrão devem ser removidas, firmware deve ser atualizado por processo documentado e equipamentos sem suporte devem ser substituídos. Em organizações que dependem de roteadores de filial ou home office, a política de segurança deve tratar esses ativos como parte da superfície corporativa: inventário, versões aprovadas, logs de egressos, alerta para falha de atualização e plano de troca. Para aplicações expostas à internet, a defesa contra proxies residenciais exige controles comportamentais, não apenas listas de bloqueio por IP.
- Regravar firmware a partir de imagem oficial ou substituir roteadores com atualização bloqueada
- Desativar administração remota desnecessária e remover credenciais padrão ou reutilizadas
- Correlacionar logs de rede, DNS, firewall e antifraude para identificar tráfego de proxy residencial
- Atualizar inventário de roteadores SOHO, modelos sem suporte e equipamentos usados por filiais ou trabalho remoto
0 Comentários