一支由多国执法机构组成的联合团队本周关闭了一个由数万个被入侵的家庭和小型企业路由器构成的僵尸网络“​SocksEscort”。

据美国司法部（DOJ）周四发布的公告，此次行动针对的是名为 SocksEscort 的付费代理服务。该服务依托被黑路由器搭建的僵尸网络，为网络犯罪分子提供基础设施，用于入侵受害者的银行账户和加密货币账户、提交虚假失业保险申请等多种犯罪活动。司法部表示，通过 SocksEscort 促成的犯罪行为已使美国民众遭受数百万美元损失。

欧洲刑警组织在同期发布的行动通报中称，SocksEscort 僵尸网络被指控制了分布在 163 个国家的逾 369,000 台路由器和物联网设备。目前，这些受感染路由器“已被从服务中断开”。通报指出，该网络被用于协助实施勒索软件攻击、分布式拒绝服务（DDoS）攻击以及传播儿童性虐待材料（CSAM）。

欧洲刑警组织表示，SocksEscort 的使用者通过支付许可费用，利用这些受感染设备隐藏其真实 IP 地址，从而开展各类犯罪活动。该机构指出，在设备被恶意软件感染后，调制解调器和路由器的所有者通常并不知晓其 IP 地址正被用于非法用途。

作为此次执法行动的一部分，SocksEscort 官方网站的内容已被替换为一则公告，显示该网站已被执法机构查封。

网络安全公司 Black Lotus Labs 参与了对 SocksEscort 的长期监测及此次取缔行动。该公司表示，自去年 1 月以来，该僵尸网络约由 280,000 台路由器组成，并运行名为 AVRecon 的恶意软件。

Black Lotus Labs 在一篇介绍此次行动的文章中指出，该僵尸网络“构成了重大威胁，因为它专门面向犯罪分子进行营销”。该公司称，其监测显示，受害设备中超过一半位于美国或英国，这使得攻击者能够开展高度针对性的行动。

早在 2023 年，Black Lotus Labs 就曾将 SocksEscort 描述为“近年来针对小型办公室/家庭办公室（SOHO）路由器规模最大的僵尸网络之一”。

网络安全记者布赖恩·克雷布斯（Brian Krebs）此前报道，SocksEscort 最早可追溯至 2009 年，起初是一个俄语服务平台，向用户出售对数千台被黑计算机的访问权限。