- A operação conjunta entre DOJ e Europol derrubou a rede SocksEscort, que infectou 369 mil dispositivos em 163 países, incluindo roteadores e dispositivos de IoT, com malware AVRecon.
- A rede alugava endereços limpos para criminosos burlarem a detecção de fraudes em bancos e exchanges de criptomoedas; 20 mil novos dispositivos eram infectados por semana desde início de 2024; a receita total é estimada em 5,8 milhões de dólares.
- Um alvo em nova york perdeu cerca de 1 milhão de dólares em criptomoedas após usar o proxy SocksEscort.
- Oito países participaram da operação lightning, entre eles frança, alemanha e neerlândia; autoridades passam a mirar a infraestrutura que viabiliza crimes com crypto, não apenas os criminosos.
- A rede tinha 124 mil usuários registrados; os servidores apreendidos contêm dados de transações e aumentam a pressão regulatória sobre exchanges e mixers, exigindo verificação de tráfego de provedores de internet legítimos.
O Departamento de Justiça dos EUA, em parceria com a Europol, desmantelou a rede de proxy ligada a SocksEscort, usada para ocultar atividades ilícitas com criptomoedas. A operação ocorreu com o objetivo de interromper a infraestrutura que permitia movimentação de fundos fraudulentos, incluindo ataques a exchanges e serviços de cripto.
A rede chegou a hijackear 369 mil dispositivos em 163 países, incluindo roteadores, dispositivos de IoT e IPs residenciais, todos infectados pelo malware AVRecon e alugados para criminosos que precisavam de endereços limpos para evitar a detecção. A operação foi denominada Lightning.
Parágrafo
O relatório aponta que cerca de 20 mil novos dispositivos eram infectados semanalmente desde o início de 2024. O valor total considerado de receita ao longo da operação é estimado em 5,8 milhões de dólares. Um alvo em Nova York perdeu aproximadamente 1 milhão de dólares em criptomoedas por meio de um proxy SocksEscort.
O que mudou com o golpe
A ação envolveu oito países, entre eles França, Alemanha e Países Baixos, com coordenação deliberada entre autoridades. As autoridades sinalizam que não se limitam a perseguir criminosos isolados, mas a infraestrutura que viabiliza crimes com criptomoedas.
A diretora executiva da Europol destacou que serviços de proxy atuam como escudo de anonimato para transações ilícitas, permitindo o movimento de fundos entre fronteiras sem detecção. A remoção dessa camada crítica levou ao colapso parcial das operações.
Impactos operacionais para usuários e plataformas
O serviço SocksEscort registrava aproximadamente 124 mil usuários. Todos eles mascaravam tráfego residencial para burlar detecção de fraudes em exchanges. Técnicas como credential stuffing, spraying de senhas, wash trading e takeovers de contas estavam entre as táticas utilizadas.
Com os servidores apreendidos, eles passam a conter dados de transações que podem abrir caminhos para novas acusações. Autoridades indicam que uma onda de acusações se aproxima a partir das informações coletadas.
Como isso afeta exchanges e mixers
Para as plataformas reguladas, a medida aumenta a pressão por verificação de origem do tráfego, com foco em provedores de serviços de internet legítimos versus botnets comprometidos. Plataformas que não adotarem verificações rigorosas devem enfrentar novas ações regulatórias.
A operação não encerra a investigação, mas sinaliza o início de rastreamento mais profundo de redes de anonimato que facilitam crimes financeiros ligados a criptomoedas. SocksEscort não funciona mais, mas os vestígios da operação continuam sob escrutínio.
Entre na conversa da comunidade