Операция получила название Operation Lightning, и за ней стоит коалиция правоохранительных органов из восьми стран: США, Австрии, Болгарии, Франции, Германии, Венгрии, Нидерландов и Румынии. Координировал работу Европол, а со стороны США действовали Министерство юстиции и ФБР. Цель операции — прекращение деятельности криминального прокси-сервиса SocksEscort, который с лета 2020 года продавал доступ примерно к 369 000 различных IP-адресов в 163 странах мира.
Схема работала так. Вредоносная программа AVrecon, написанная на языке C, заражала домашние и офисные маршрутизаторы (SOHO-роутеры) через критические уязвимости — удалённое выполнение кода (RCE) и инъекцию команд. Под прицелом оказались примерно 1 200 моделей устройств на архитектурах MIPS и ARM от производителей Cisco, D-Link, Hikvision, Mikrotik, NETGEAR, TP-Link и Zyxel. Владельцы роутеров даже не подозревали, что их устройства стали частью ботнета.
Механизм закрепления AVrecon в системе особенно неприятен. Вредонос злоупотреблял встроенным механизмом обновления прошивки роутера — перезаписывал его кастомным образом, содержащим жёстко зашитую копию AVrecon, которая запускалась при каждой загрузке. После этого функции обновления и перепрошивки отключались. Заражение становилось фактически необратимым. Помимо превращения устройства в прокси-узел сервиса SocksEscort, малварь могла открывать удалённые шеллы к серверам злоумышленников и загружать произвольные полезные нагрузки.
Активность AVrecon прослеживается как минимум с мая 2021 года, а публично его задокументировала в июле 2023-го исследовательская команда Lumen Black Lotus Labs. Компания NETGEAR сообщила, что её устройства атаковались ещё на ранних стадиях активности ботнета в 2016 году, но компания быстро предприняла меры по устранению проблемы и с тех пор новых эксплойтов не фиксировала.
Масштаб сервиса впечатляет даже по меркам киберпреступного рынка. По состоянию на декабрь 2025 года на сайте socksescort[.]com рекламировались более 35 900 прокси из 102 стран. К февралю 2026 года в списке значилось около 8 000 заражённых маршрутизаторов, из которых 2 500 находились в США. С начала 2025 года сервис, по оценкам, задействовал 280 000 уникальных IP-адресов. Еженедельно ботнет поддерживал в среднем 20 000 активных «жертв», а связь проходила через примерно 15 командных серверов (C2).
SocksEscort позиционировал свои услуги как «статические резидентные IP с неограниченной пропускной способностью». Тарифы были доступными: 30 прокси за 15 долларов в месяц или 5 000 прокси за 200 долларов. Платёжная криптовалютная платформа, через которую клиенты сервиса расплачивались анонимно, приняла в общей сложности более 5 миллионов евро.
Европол установил, что через SocksEscort проводились самые разные виды преступной деятельности: распространение программ-вымогателей, DDoS-атаки, рассылка спама в обход блокировочных списков, а также распространение материалов сексуального насилия над детьми (CSAM). Все эти действия прикрывались чужими резидентными IP — преступники прятали своё реальное местоположение за роутерами ни о чём не подозревавших людей.
Жертвами мошенничества через SocksEscort становились самые разные люди. Клиент одной криптовалютной биржи из Нью-Йорка лишился криптовалюты на миллион долларов. Производственная компания из Пенсильвании потеряла 700 000 долларов. Действующие и бывшие военнослужащие США, державшие карты MILITARY STAR, были обмануты на 100 000 долларов. И это лишь те случаи, которые стали публичными.
В результате операции Lightning были изъяты 34 домена, отключены 23 сервера в семи странах, а на криптовалютных кошельках заморожены 3,5 миллиона долларов. Для ботнета, который годами работал практически незамеченным для своих жертв, это серьёзный удар — хотя полная зачистка заражённых устройств потребует куда больше усилий, чем отключение серверов управления.
Изображение носит иллюстративный характер
Схема работала так. Вредоносная программа AVrecon, написанная на языке C, заражала домашние и офисные маршрутизаторы (SOHO-роутеры) через критические уязвимости — удалённое выполнение кода (RCE) и инъекцию команд. Под прицелом оказались примерно 1 200 моделей устройств на архитектурах MIPS и ARM от производителей Cisco, D-Link, Hikvision, Mikrotik, NETGEAR, TP-Link и Zyxel. Владельцы роутеров даже не подозревали, что их устройства стали частью ботнета.
Механизм закрепления AVrecon в системе особенно неприятен. Вредонос злоупотреблял встроенным механизмом обновления прошивки роутера — перезаписывал его кастомным образом, содержащим жёстко зашитую копию AVrecon, которая запускалась при каждой загрузке. После этого функции обновления и перепрошивки отключались. Заражение становилось фактически необратимым. Помимо превращения устройства в прокси-узел сервиса SocksEscort, малварь могла открывать удалённые шеллы к серверам злоумышленников и загружать произвольные полезные нагрузки.
Активность AVrecon прослеживается как минимум с мая 2021 года, а публично его задокументировала в июле 2023-го исследовательская команда Lumen Black Lotus Labs. Компания NETGEAR сообщила, что её устройства атаковались ещё на ранних стадиях активности ботнета в 2016 году, но компания быстро предприняла меры по устранению проблемы и с тех пор новых эксплойтов не фиксировала.
Масштаб сервиса впечатляет даже по меркам киберпреступного рынка. По состоянию на декабрь 2025 года на сайте socksescort[.]com рекламировались более 35 900 прокси из 102 стран. К февралю 2026 года в списке значилось около 8 000 заражённых маршрутизаторов, из которых 2 500 находились в США. С начала 2025 года сервис, по оценкам, задействовал 280 000 уникальных IP-адресов. Еженедельно ботнет поддерживал в среднем 20 000 активных «жертв», а связь проходила через примерно 15 командных серверов (C2).
SocksEscort позиционировал свои услуги как «статические резидентные IP с неограниченной пропускной способностью». Тарифы были доступными: 30 прокси за 15 долларов в месяц или 5 000 прокси за 200 долларов. Платёжная криптовалютная платформа, через которую клиенты сервиса расплачивались анонимно, приняла в общей сложности более 5 миллионов евро.
Европол установил, что через SocksEscort проводились самые разные виды преступной деятельности: распространение программ-вымогателей, DDoS-атаки, рассылка спама в обход блокировочных списков, а также распространение материалов сексуального насилия над детьми (CSAM). Все эти действия прикрывались чужими резидентными IP — преступники прятали своё реальное местоположение за роутерами ни о чём не подозревавших людей.
Жертвами мошенничества через SocksEscort становились самые разные люди. Клиент одной криптовалютной биржи из Нью-Йорка лишился криптовалюты на миллион долларов. Производственная компания из Пенсильвании потеряла 700 000 долларов. Действующие и бывшие военнослужащие США, державшие карты MILITARY STAR, были обмануты на 100 000 долларов. И это лишь те случаи, которые стали публичными.
В результате операции Lightning были изъяты 34 домена, отключены 23 сервера в семи странах, а на криптовалютных кошельках заморожены 3,5 миллиона долларов. Для ботнета, который годами работал практически незамеченным для своих жертв, это серьёзный удар — хотя полная зачистка заражённых устройств потребует куда больше усилий, чем отключение серверов управления.
