● Next INpact Télécom 📅 13/03/2026 à 08:51

Géopolitique 👤 Alexandre Laurent

🏷️ Tags : chine cert pto réseau rte stoc

Sucksescort Basé sur plus d’un million de modems infectés par le malware AVRecon, le réseau de proxy Socksescort a été démantelé mercredi à l’issue d’une opération conjointe des autorités, en Europe comme aux États-Unis. Socksescort, qui proposait à la location des adresses IP résidentielles, aurait permis de générer plus de 5 millions d’euros de chiffre d’affaires, blanchis au travers du processeur de paiement crypto Bitsidy, lui aussi saisi. Qu’il s’agisse de contourner un blocage géographique, gruger les systèmes antispam des sites de recommandation ou envoyer des emails en masse, le réseau Socksescort promettait l’accès par proxy SOCKS5 à un vaste réseau d’adresses IP résidentielles. « Toutes nos adresses IP sont statiques et durables », affirmait le site, qui revendiquait un stock permanent de plusieurs dizaines de milliers de points de terminaison, répartis dans le monde entier. Un réseau de modems infectés, les box épargnées Le service était bien sûr proposé contre espèces sonnantes et trébuchantes : à partir de 15 dollars par mois pour 30 proxies, avec des tarifs dégressifs pour les utilisations en volume ou les engagements de durée, et un paiement possible dans les cryptomonnaies les plus courantes. Actif depuis 2021 sous sa forme actuelle, Socksescort affiche depuis le 11 mars un bandeau d’information aux couleurs d’Europol, du FBI et des forces de police de plusieurs pays européens, dont la France. Le site a en effet l’objet d’une « action coordonnée » qui a mené à la saisie de 23 serveurs dans sept pays, et à sa mise hors ligne. Socksescort et Bitsidy affichent un bandeau annonçant la saisie des serveurs et l’opération de police associée L’enquête préalable avait quant à elle permis de mettre au jour le fonctionnement de Socksescort, qui « s’adossait en réalité sur 1 million de modems dans le monde infectés par le malware AVRecon », selon un communiqué (PDF) signé par Laure Beccuau, procureure de Paris. « Ce malware, qui sévissait depuis 2019, infectait les modems appartenant à des particuliers ou des organisations et les plaçaient sous le contrôle de Socksescort.com. Les machines infectées devenaient ainsi à l’insu de leur légitime propriétaires des relais de trafic pour les clients de Socksescort.com », décrit encore le Parquet. L’affaire éveillera peut-être chez certains des échos du malware Mirai, qui avait défrayé la chronique en 2016 en infectant plusieurs centaines de milliers de modems routeurs fournis par Deutsche Telekom à ses clients. D’après le FBI (PDF), AVRecon ciblait environ 1 200 modèles de modems et routeurs fournis par des acteurs tels que « Cisco, D-Link, Hikvision, MikroTik, Netgear, TP-Link, et Zyxel ». Publiée par le FBI, cette liste représente les 20 modèles les plus fréquemment touchés par le malware AVrecon Une infrastructure partiellement basée en France La France n’était que faiblement représentée dans l’architecture du réseau Socksescort, probablement en raison de la très forte représentation des « box » opérateurs : « Le 4 mars 2026, la société affichait sur son site web qu’elle disposait de 35 915 proxys dans 102 pays, dont 454 en France, 14 720 aux USA, 5 317 au Royaume-Unis, 695 en Italie ». Une partie de l’infrastructure identifiée lors de l’enquête se situait toutefois en France, ce qui explique que le parquet de Paris ait ouvert une enquête préliminaire, confiée à l’Office français anti cybercriminalité (OFAC) dès 2024. C’est a priori des États-Unis qu’est partie l’enquête, en raison de suspicions de fraudes et d’arnaques réalisées au travers du service. « Des cybercriminels ont utilisé l’accès acheté sur Socksescort pour dissimuler leurs véritables adresses IP et localisations, facilitant ainsi des fraudes telles que le piratage de comptes bancaires et de cryptomonnaies américains et des demandes d’allocations chômage frauduleuses », décrivent les autorités états-uniennes, qui ont par ailleurs saisi l’équivalent de 3,5 millions de dollars en cryptomonnaies lors du coup de filet. Blanchiment en crypto Les autorités ont dans le même temps saisi et mis hors ligne la plateforme de paiement en cryptomonnaies Bitsidy, administrée par la même équipe selon le parquet de Paris : « L’enquête a également établi que la plateforme de paiement Bitsidy.com était administrée par les mêmes personnes que le service de proxy et que cette plateforme a perçu plus de 5 millions d’euros des clients de socksescort.com. » Relativement confidentiel, Bitsidy se positionnait comme un processeur de paiement destiné aux e-commerçants désireux d’autoriser le paiement en cryptomonnaies sur leur site marchand. Suivez en direct des milliers de bots attaquer un de nos serveur

🔗 Lire l'article original 👁️ 2 lectures