S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Les autorités démantèlent Socksescort et son réseau proxy de modems infectés

Sucksescort

Les autorités démantèlent Socksescort et son réseau proxy de modems infectés

Illustration : Flock

Basé sur plus d’un million de modems infectés par le malware AVRecon, le réseau de proxy Socksescort a été démantelé mercredi à l’issue d’une opération conjointe des autorités, en Europe comme aux États-Unis. Socksescort, qui proposait à la location des adresses IP résidentielles, aurait permis de générer plus de 5 millions d’euros de chiffre d’affaires, blanchis au travers du processeur de paiement crypto Bitsidy, lui aussi saisi.

Le 13 mars à 08h51

Qu’il s’agisse de contourner un blocage géographique, gruger les systèmes antispam des sites de recommandation ou envoyer des emails en masse, le réseau Socksescort promettait l’accès par proxy SOCKS5 à un vaste réseau d’adresses IP résidentielles.

« Toutes nos adresses IP sont statiques et durables », affirmait le site, qui revendiquait un stock permanent de plusieurs dizaines de milliers de points de terminaison, répartis dans le monde entier.

Un réseau de modems infectés, les box épargnées

Le service était bien sûr proposé contre espèces sonnantes et trébuchantes : à partir de 15 dollars par mois pour 30 proxies, avec des tarifs dégressifs pour les utilisations en volume ou les engagements de durée, et un paiement possible dans les cryptomonnaies les plus courantes.

Actif depuis 2021 sous sa forme actuelle, Socksescort affiche depuis le 11 mars un bandeau d’information aux couleurs d’Europol, du FBI et des forces de police de plusieurs pays européens, dont la France. Le site a en effet l’objet d’une « action coordonnée » qui a mené à la saisie de 23 serveurs dans sept pays, et à sa mise hors ligne.

Socksescort et Bitsidy affichent un bandeau annonçant la saisie des serveurs et l’opération de police associée

L’enquête préalable avait quant à elle permis de mettre au jour le fonctionnement de Socksescort, qui « s’adossait en réalité sur 1 million de modems dans le monde infectés par le malware AVRecon », selon un communiqué (PDF) signé par Laure Beccuau, procureure de Paris.

« Ce malware, qui sévissait depuis 2019, infectait les modems appartenant à des particuliers ou des organisations et les plaçaient sous le contrôle de Socksescort.com. Les machines infectées devenaient ainsi à l’insu de leur légitime propriétaires des relais de trafic pour les clients de Socksescort.com », décrit encore le Parquet.

L’affaire éveillera peut-être chez certains des échos du malware Mirai, qui avait défrayé la chronique en 2016 en infectant plusieurs centaines de milliers de modems routeurs fournis par Deutsche Telekom à ses clients.

D’après le FBI (PDF), AVRecon ciblait environ 1 200 modèles de modems et routeurs fournis par des acteurs tels que « Cisco, D-Link, Hikvision, MikroTik, Netgear, TP-Link, et Zyxel ».

Publiée par le FBI, cette liste représente les 20 modèles les plus fréquemment touchés par le malware AVrecon

Une infrastructure partiellement basée en France

La France n’était que faiblement représentée dans l’architecture du réseau Socksescort, probablement en raison de la très forte représentation des « box » opérateurs : « Le 4 mars 2026, la société affichait sur son site web qu’elle disposait de 35 915 proxys dans 102 pays, dont 454 en France, 14 720 aux USA, 5 317 au Royaume-Unis, 695 en Italie ».

Une partie de l’infrastructure identifiée lors de l’enquête se situait toutefois en France, ce qui explique que le parquet de Paris ait ouvert une enquête préliminaire, confiée à l’Office français anti cybercriminalité (OFAC) dès 2024.

C’est a priori des États-Unis qu’est partie l’enquête, en raison de suspicions de fraudes et d’arnaques réalisées au travers du service.

« Des cybercriminels ont utilisé l’accès acheté sur Socksescort pour dissimuler leurs véritables adresses IP et localisations, facilitant ainsi des fraudes telles que le piratage de comptes bancaires et de cryptomonnaies américains et des demandes d’allocations chômage frauduleuses », décrivent les autorités états-uniennes, qui ont par ailleurs saisi l’équivalent de 3,5 millions de dollars en cryptomonnaies lors du coup de filet.

Blanchiment en crypto

Les autorités ont dans le même temps saisi et mis hors ligne la plateforme de paiement en cryptomonnaies Bitsidy, administrée par la même équipe selon le parquet de Paris :

« L’enquête a également établi que la plateforme de paiement Bitsidy.com était administrée par les mêmes personnes que le service de proxy et que cette plateforme a perçu plus de 5 millions d’euros des clients de socksescort.com. »

Relativement confidentiel, Bitsidy se positionnait comme un processeur de paiement destiné aux e-commerçants désireux d’autoriser le paiement en cryptomonnaies sur leur site marchand.

Commentaires (13)

votre avatar
C’est quelles marques de modem/routeurs qui étaient infectés ?
votre avatar
Il y avait un peu de tout (Netgear, TP-Link, D-Link, Zyxel, Cisco, Mikrotik...).
votre avatar
oupsy, le passage concerné avait sauté, c'est rétabli
votre avatar
Je me demande si le matériel impacté l'était à cause d'un mdp par défaut, un défaut de sécurisation grossier ou bien un vrai 0 day. En tout cas c'est impressionnant.

Edit :
"infected using critical vulnerabilities
such as Remote Code Execution (RCE) and command injection. [...] Devices classified as End-of-Life (EOL) by their manufacturers generally do not receive security patches to address known vulnerabilities. For non-EOL
devices, patches may have been released for some of the vulnerabilities used by AVrecon. However, these
patches are often not applied automatically, and even if they are eventually applied, that may not
remediate a device which has already been infected with AVrecon."

C'est exactement ce qui m'a toujours poussé à utiliser un petit serveur x86 (linux/netfilter) pour le fw/nat/routage plutôt que ce genre de routeurs grand public/tpe/pme. Le ratio traitement/watt est certes moins efficace mais au moins c'est éprouvé et il y a des màjs.
votre avatar
Il y a aussi OpenWRT
votre avatar
As tu plus de détails ?
Ah non j'avais pas compris la réponse
votre avatar
Et ils ont fait quoi des routeurs infectés ?
Les autorités ont étés chez les particuliers les débrancher, ou ils les ont "patchés" à distance ?
votre avatar
Ils ont probablement juste débranché le serveur qui communiquait avec ces appareils.
votre avatar
Donc les routeurs sont encore potentiellement exploitables par un autre botnet...
votre avatar
Ces routeurs sont des appareils personnels, donc ca me ferait un peu peur qu'on puisse les mettre à jour à distance sans l'accord des propriétaires (et potentiellement sans les prévenir non plus). Ca voudrait dire que potentiellement n'importe qui peut le faire, ce qui est encore pire niveau sécurité.
votre avatar
Rien n'empêche les forces de l'ordre de prendre contact avec les propriétaires.
De plus, on a déjà vu passer des cas où un pirate soit sécurisait sa "peise" après en avoir pris le contrôle (pour éviter qu'on la lui volle), soit carrément qu'un white hacker envoie un patch sur tous les appareils vulnérables. Donc c'est possible, mais j'ai un doute sur la légalité.
votre avatar
Je trouve que les fabricants dont les appareils ont été piratés ont une grande part de responsabilité dans cette histoire:

  • abandon trop rapide de leurs produits après quelques années ;

  • pas assez de sérieux dans la conception d'appareils critiques sur le réseau: à quand des normes sur le sujet ?



Ces appareils devraient être mis à jours pendant 10 ans selon moi et pas juste recevoir une mise à jour dans toute leur vie. Il n'y a qu'à regarder le nombre de versions de firmware disponible chez ces fabricants et la période sur laquelle ces mises à jour s'étalent: c'est la honte.
votre avatar
Sucksescort => proxYnète