美国东部时间 2026 年 3 月中旬,美国司法部(DOJ)宣布,在一场代号为“闪电行动”(Operation Lightning)的国际协同执法行动中,成功瘫痪了运作多年的全球恶意代理平台 SocksEscort。此次行动得到欧洲刑警组织的支持,涉及美国、德国、法国、荷兰、奥地利、匈牙利等多个国家,共缴获分布在 7 个国家的 23 台服务器,并扣押了 34 个相关域名。
该平台通过植入名为 AVrecon 的恶意软件,将全球超过 36 万台家用及小型企业路由器转化为僵尸网络节点,为网络罪犯提供隐匿身份的代理服务。自 2020 年以来,该网络不仅导致数千名美国个人、企业及金融机构遭受总计超过 500 万美元的经济损失,还涉及大规模的信用卡欺诈与加密货币盗窃。
隐蔽的犯罪温床:AVrecon 恶意软件与 36 万个“肉鸡”
根据美国加利福尼亚东区检察官办公室披露的细节,SocksEscort 的核心运作模式是利用一种名为 AVrecon 的复杂恶意软件。自 2021 年 5 月起,该软件便开始在大规模范围内感染普通家庭和小型办公(SOHO)路由器。一旦路由器被感染,它就会被纳入 SocksEscort 的僵尸网络,成为该平台售卖的“纯净住宅代理 IP”。
技术细节显示,这些受感染的设备被强行充当流量中继站。网络黑客通过支付匿名加密货币(主要是比特币等),即可租用这些真实用户的 IP 地址来掩盖其真实的地理位置。截至 2026 年 2 月,SocksEscort 仍在其平台上公开挂牌出售约 8,000 个活跃的感染节点,其中约 2,500 个位于美国境内。在其整个运营周期内,该平台共提供了来自 163 个国家的约 36.9 万个不同 IP 地址。
造成的惨重损失:从加密货币到军方信用卡
SocksEscort 为各类网络犯罪提供了绝佳的掩护,导致了多起严重的金融诈骗案。美国司法部在起诉文件中列举了数个典型案例:
- 加密货币巨额被盗: 一名居住在纽约的加密货币交易所用户,因黑客使用 SocksEscort 代理绕过安全检测,导致价值 100 万美元 的资产被洗劫一空。
- 企业遭遇支付欺诈: 宾夕法尼亚州的一家制造企业在黑客的攻击下损失了 70 万美元。
- 针对美军的攻击: 犯罪分子利用该网络伪造了价值 10 万美元 的“军事之星”(MILITARY STAR)卡交易,直接侵害了美国服役人员的利益。
执法部门估计,SocksEscort 的运营者通过该平台至少非法获利 500 万欧元(约合 570 万美元)。在本次行动中,美国官方已成功冻结了与该僵尸网络相关的约 350 万美元 加密货币资产。
技术博弈与全球协作
此次“闪电行动”的成功离不开技术社区的支持。Lumen 旗下的 Black Lotus Labs 以及 Shadowserver Foundation 等网络安全机构提供了关键的遥测数据和技术情报,帮助执法部门锁定了控制服务器(C2)的具体位置。
目前,受影响的路由器用户被建议检查设备的固件更新,并重置管理密码。尽管 SocksEscort 的主要基础设施已被摧毁,但 AVrecon 恶意软件的变种仍可能存在于网络中。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️