Un résident de New York a perdu près d'un million de dollars en cryptomonnaie. Ce cas unique est devenu l'un des exemples les plus clairs des dégâts causés par SocksEscort — un service proxy à la demande qui offrait aux criminels du monde entier un moyen de se cacher pendant qu'ils volaient.
Un réseau construit sur des appareils piratés
Les autorités américaines et européennes ont annoncé jeudi avoir fermé SocksEscort après des années d'activité. Le service fonctionnait en infectant des routeurs et d'autres appareils connectés à Internet avec des logiciels malveillants, les transformant en points de couverture qui masquaient les véritables localisations des cybercriminels.
Selon le ministère de la Justice, le réseau s'était discrètement infiltré dans au moins 369 000 appareils répartis dans 163 pays. Les criminels pouvaient alors acheminer leurs attaques via ces machines compromises, les rendant beaucoup plus difficiles à tracer.
Le logiciel malveillant au cœur de l'opération — connu sous le nom d'AVrecon — avait été publiquement identifié par la firme de cybersécurité Black Lotus Labs dès juillet 2023. Le réseau a continué à fonctionner malgré tout.
Source : DOJ
Le démantèlement n'a pas été l'effort d'une seule agence. Les forces de l'ordre d'Autriche, de France, d'Allemagne, de Hongrie, des Pays-Bas, de Roumanie et des États-Unis ont travaillé ensemble sur l'affaire.
Du côté américain, le bureau local du FBI à Sacramento, le bureau d'enquêtes criminelles de l'IRS à Oakland et le Service d'enquêtes criminelles de la Défense du département de la Défense ont tous participé à l'opération.
Europol et Eurojust ont fourni un soutien à la coordination transfrontalière. Black Lotus Labs et l'organisation à but non lucratif Shadowserver Foundation ont fourni des renseignements techniques qui ont aidé les enquêteurs à connecter les points.
Les criminels payaient en crypto pour rester anonymes
SocksEscort n'a pas seulement attiré des acteurs malveillants individuels. Il fonctionnait comme une entreprise. Les clients payaient pour accéder au service, et ils le faisaient anonymement — en utilisant des cryptomonnaies pour éviter de laisser une trace financière.
Selon les rapports d'Europol, la plateforme a généré au moins 5 millions d'euros, soit environ 5,7 millions de dollars, auprès de ses utilisateurs payants au cours de son existence.
Les autorités ont finalement pu saisir 34 domaines, démanteler environ deux douzaines de serveurs opérant dans sept pays et geler environ 3,5 millions de dollars en cryptomonnaies liées à l'opération.
La directrice exécutive d'Europol, Catherine De Bolle, a déclaré que les services proxy de ce type offrent aux criminels la couverture nécessaire pour mener des attaques, déplacer des contenus illégaux et éviter la détection. Elle a crédité la coopération internationale pour avoir exposé l'infrastructure qui le sous-tend.
La fraude s'étendait des comptes bancaires aux portefeuilles crypto
Les crimes facilités par SocksEscort dépassaient toute méthode unique. Les responsables ont lié le réseau à des fraudes bancaires et à des prises de contrôle de comptes de cryptomonnaies remontant à 2020.
Le cas de la victime new-yorkaise s'est distingué par son ampleur, mais les rapports indiquent que les dégâts étaient répartis dans plusieurs pays et types de cibles.
Image principale de Pexels, graphique de TradingView
