Actualites

SocksEscort : un nouveau vaste réseau de serveurs mandataires qui s'éteint

Alimenté par le malware AVRecon, ce réseau s'est appuyé sur entre 280 000 et 369 000 appareils de bordure, principalement des routeurs et des objets connectés, depuis 2020. Il est tombé.

Valéry Rieß-Marchive
par
Publié le: 17 mars 2026

La coordination internationale a abouti à la neutralisation du service de proxy malveillant « SocksEscort ». Cette infrastructure, alimentée par le malware AVRecon, a compromis entre 280 000 et 369 000 appareils de bordure, principalement des routeurs et des objets connectés (IoT), depuis 2020.

Cette opération marque la fin d'une exploitation commerciale systématique transformant des périphériques domestiques en serveurs mandataires résidentiels, une pratique facilitant la fraude bancaire, la pulvérisation de mots de passe et l'évasion des mesures de sécurité géolocalisées.

L'opératif de la prise en charge internationale de SocksEscort

La désactivation de l'infrastructure SocksEscort résulte d'une opération conjointe massive impliquant le FBI et ses partenaires internationaux. Selon le communiqué du procureur général des États-Unis du 12 mars 2026, l'intervention a mobilisé une coalition d'agences régionales et fédérales : Europol, Office Anti-Cybercriminalité (OFAC) français, la police nationale néerlandaise, ou encore le parquet autrichien, entre autres.

Cette action s'inscrit dans un modèle de réponse public-privé renforcé, illustré par l'implication des Black Lotus Labs. Ces derniers ont fourni le renseignement technique nécessaire pour identifier les indicateurs de compromission et ont travaillé en tandem avec le ministère américain de la Justice pour démanteler les nœuds de commande et de contrôle (C2). 

L'impact de cette coopération est immédiat et concret. Black Lotus Labs a intégré les IOC de l'infrastructure SocksEscort dans son système de défense « Lumen Defender ». Dès la publication de l'analyse, Lumen a commencé à bloquer l'intégralité du trafic, entrant et sortant, provenant ou se dirigeant vers l'infrastructure du réseau malveillant. Cette action de filtrage au niveau du fournisseur d'accès à Internet (FAI) empêche toute résurgence immédiate du service de proxy.

La taille de l'infrastructure démontre la nécessité d'une telle intervention coordonnée. Black Lotus Labs précise ainsi qu'au cours « des dernières années, SocksEscort a maintenu une taille moyenne d'environ 20 000 distinctes par semaine, avec des communications routées via une moyenne de nœuds de commande et de contrôle ». Cette architecture distribuée rendait le désarmement technique sans la participation des forces de l'ordre extrêmement difficile.

Anatomie d'une chaîne de compromission industrialisée

Le malware AVRecon constituait le cœur de l'infrastructure SocksEscort. Conçu pour exploiter des vulnérabilités de type « Remote Code Execution » (RCE) - permettant l'exécution de code arbitraire à distance - et des injections de commande sur des routeurs et des appareils IoT, il s'appuyait sur une architecture modulaire.

Selon le rapport du FBI : « AVrecon est écrit en C et vise principalement les appareils MIPS et ARM ». La modularité de son architecture permettait aux auteurs de l'attaque d'ajouter rapidement de nouveaux modules d'exploitation, adaptant ainsi leurs tactiques face aux correctifs de sécurité. Le malware vaisait environ 1 200 modèles de dispositifs issus de fabricants populaires tels que Cisco, D-Link, Hikvision, MikroTik, Netgear, TP-Link et Zyxel.

Une fois un appareil compromis, AVRecon établissait un canal de communication persistant avec le serveur C2, sur les ports 8080 et 8000, selon une boucle de type « PING-PONG » toutes les 60 secondes. Cette interaction permettait aux attaquants d'injecter des commandes, telles que l'ouverture de tunnels vers des serveurs relais de SocksEscort.

Fin janvier, un autre réseau de serveurs mandataires résidentiels est tombé, IPIDEA. Ces serveurs mandataires sont particulièrement prisés, parce que leurs adresses IP ne sont pas référencées comme celles de serveurs VPN grand public ou d’hébergeurs, réduisant considérablement le risque de blocage.

Pour approfondir sur Menaces, Ransomwares, DDoS