Uma operação internacional com autorização judicial acaba de desmantelar um serviço proxy criminal que tinha convertido roteadores domésticos e de pequenas empresas em uma extensa rede de acesso remoto para atividades fraudulentas. Segundo o Departamento de Justiça dos Estados Unidos, o serviço, conhecido como SocksEscort, instalava malware em equipamentos de borda para encaminhar tráfego através deles e depois vendia esse acesso a terceiros.
Os promotores e as forças de segurança descrevem um esquema que não era apenas traficado com endereços IP residenciais, mas permitia aos seus clientes esconder a sua origem real, confundindo sistemas de detecção e blindando fraudes por trás de tráfego aparentemente legítimo. O Governo norte-americano explica os detalhes em seu comunicado oficial; pode ler-se aqui: Departamento de Justiça – nota sobre SocksEscort.
Os números que desceram mostram a escala do problema: desde o verão de 2020 o serviço teria colocado à venda acesso a centenas de milhares de endereços IP repartidos por mais de uma centena de países; no início de 2026 a plataforma enumerava milhares de roteadores comprometidos, com um número significativo localizados nos Estados Unidos. A própria página do serviço prometia, pelo menos até finais de 2025, endereços “residenciais estáticos com largura de banda ilimitada” e esquemas de preços pensados para diferentes volumes de uso.
Não se tratava de um simples proxy: a infraestrutura técnica por trás de SocksEscort se apoiava em um malware conhecido como AVrecon, que pesquisadores da indústria já haviam documentado com antecedência. Esta peça maliciosa era capaz não só de converter um dispositivo em proxy, mas também de abrir uma shell remota e baixar execuções adicionais, tornando-a uma porta de entrada versátil para diferentes tipos de ataques. Um resumo técnico e alertas oficiais oferecem mais contexto sobre essas capacidades e a variedade de dispositivos afetados: Alerta do FBI / IC3 e a análise dos pesquisadores de Black Lotus Labs, que seguiram a evolução de AVrecon.
Os modelos atacados cobrem uma ampla gama de dispositivos comerciais e domésticos: fabricantes como Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link e Zyxel estiveram entre os apontados. Os atacantes teriam aproveitado falhas graves, incluindo erros que permitem a execução remota de código ou injeções de comandos, para implantar o código malicioso. Além disso, para garantir persistência, em muitos casos, foi usado o mecanismo legítimo de atualização do firmware do equipamento para gravar uma imagem modificada que desabilitava as funções de atualização, deixando o dispositivo permanentemente comprometido.
A consequência prática para as vítimas foi dupla: por um lado, suas equipes ficavam sob o controle de atacantes; por outro, essa infraestrutura permitia aos criminosos operar com grande sigilo. A Europol sintetizou o impacto alertando que as máquinas sequestradas serviram para facilitar desde ataques de recusa de serviço e campanhas de ransomware até a distribuição de material ilegal. A intervenção coordenada, batizada como Operação Lightning, envolveu forças de segurança de diversos países europeus e Estados Unidos; o organismo da UE explica a operação e os seus resultados aqui: Europol – comunicado sobre a interrupção do SocksEscort.
No plano económico, os danos foram reais e documentados. Foram identificados casos individuais de perdas milionárias: desde um usuário de uma exchange de criptomoedas que foi despojado de cerca de um milhão de dólares, até uma empresa transformadora que sofreu uma fraude por centenas de milhares. Além disso, houve vítimas entre pessoal militar que viram seus recursos de cartões específicos de serviço. As pesquisas também conseguiram congelar ativos criptografados associados à atividade ilícita.
Os responsáveis pela operação indicam que o serviço fonctionava dentro de um ecossistema projetado para preservar o anonimato dos compradores: a compra do acesso foi realizada por meio de plataformas de pagamento em criptomoeda, o que, segundo as autoridades, facilitou receitas multimilionários para quem operava a infraestrutura. As autoridades conseguiram desativar dezenas de domínios e servidores ligados à rede, e congelar quantidades significativas de criptodivisas ligadas ao esquema.
Do ponto de vista técnico, o que torna especialmente perigoso a um serviço como SocksEscort é que vende "camuflaje" digital: ao enviar tráfego através de dispositivos residenciais reais, um atacante pode parecer local ou legítimo para sistemas de segurança e plataformas on-line, dificultando a rastreabilidade e a atribuição. Pesquisadores da indústria destacaram que, em seu momento, a botnet manteve um número sustentado de vítimas semanais que se contavam por dezenas de milhares e operou com múltiplos nodos de comando e controle para evitar sua interrupção.
Para aqueles que usam redes domésticas ou gerem pequenas infra-estruturas, a lição é clara: muitos ataques começam aproveitando configurações por defeito, firmware desatualizado ou serviços de gestão remota expostos. Manter equipamentos atualizados, alterar senhas por defeito, desactivar a administração remota quando não for necessária e aplicar as correcções de segurança que os fabricantes publiquem são medidas fundamentais para reduzir o risco de intrusão. As autoridades e os equipamentos de resposta recomendam a revisão de avisos públicos e a aplicação de adesivos; o aviso técnico do FBI é um bom ponto de partida para administradores e usuários preocupados com esta ameaça.
O caso SocksEscort também é uma chamada de atenção mais ampla: à medida que milhões de dispositivos IoT e roteadores se integram em casas e PME, a superfície de ataque cresce e os criminosos encontram nesses equipamentos um recurso barato e abundantemente disponível. A resposta policial internacional demonstra que a cooperação entre jurisdições e o trabalho conjunto entre o sector público e privado continuam a ser essenciais para desativar redes ilícitas que operam a nível global.
Se você quer aprofundar as fontes oficiais e a análise técnica que foram surgindo, você pode consultar a nota do Departamento de Justiça acima mencionada, o comunicado da Europol, o boletim técnico do FBI e o seguimento dos pesquisadores de Black Lotus Labs sobre AVrecon: DoJ, Europol, FBI / IC3 e o relatório público dos pesquisadores que seguiram o malware (Black Lotus Labs).
Em suma, a queda de SocksEscort é uma vitória para a justiça, mas também um lembrete de que a segurança da internet começa em cada dispositivo conectado. Proteger o roteador de casa não é apenas uma medida técnica: é uma barreira concreta contra fraudes que podem arruinar pessoas e empresas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...