Operasi Global Bongkar Botnet SocksEscort yang Eksploitasi 369.000 IP di 163 Negara

Operasi internasional yang disahkan oleh pengadilan berhasil membongkar layanan proxy kriminal bernama SocksEscort yang mengendalikan ribuan router rumah dan bisnis kecil di seluruh dunia menjadi sebuah botnet untuk melakukan penipuan berskala besar.

Menurut Kementerian Kehakiman Amerika Serikat (DoJ), "SocksEscort menginfeksi router internet rumah dan bisnis kecil dengan malware yang memungkinkan mereka mengarahkan lalu lintas internet melalui router yang terinfeksi. SocksEscort kemudian menjual akses ini kepada pelanggannya."

SocksEscort (socksescort[.]com) menawarkan akses ke sekitar 369.000 alamat IP di 163 negara sejak musim panas 2020, dengan daftar hampir 8.000 router yang terinfeksi per Februari 2026. Dari jumlah tersebut, 2.500 router berada di Amerika Serikat.

Bagaimana SocksEscort Bekerja dan Dampaknya

Tujuan utama layanan seperti SocksEscort adalah memungkinkan pelanggan membelinya untuk menyalurkan lalu lintas internet mereka melalui perangkat yang terinfeksi tanpa sepengetahuan korban. Teknik ini membuat pelaku kejahatan sulit dilacak karena menyembunyikan alamat IP asli dan lokasi mereka, sehingga lalu lintas jahat tampak seperti aktivitas yang sah.

Beberapa korban penipuan yang terjadi akibat aktivitas SocksEscort termasuk:

• Seorang pengguna bursa kripto di New York yang kehilangan aset kripto senilai $1 juta.
• Perusahaan manufaktur di Pennsylvania yang dirugikan sebesar $700.000.
• Anggota dan mantan anggota militer AS yang menggunakan kartu MILITARY STAR dan kehilangan $100.000.

Operasi Lightning: Kolaborasi Internasional

Dalam pengumuman bersama, Europol menyatakan bahwa operasi tersebut, yang dinamai Operation Lightning, melibatkan aparat penegak hukum dari Austria, Bulgaria, Prancis, Jerman, Hungaria, Belanda, Rumania, dan Amerika Serikat.

Hasil dari operasi ini mencakup:

• Penutupan 34 domain dan 23 server yang tersebar di tujuh negara.
• Pembekuan aset kripto senilai $3,5 juta.
• Pemberantasan jaringan botnet yang melibatkan ribuan perangkat router residensial.

Europol menambahkan, perangkat yang terinfeksi terutama adalah router residensial yang dieksploitasi untuk berbagai aktivitas kriminal seperti ransomware, serangan DDoS, dan distribusi materi pelecehan seksual anak (CSAM). Kerentanan yang digunakan adalah pada modem residensial merek tertentu.

"Untuk mengakses layanan proxy ini, pelanggan menggunakan platform pembayaran yang memungkinkan pembelian anonim dengan cryptocurrency. Diperkirakan platform ini menerima lebih dari 5 juta Euro dari pelanggan SocksEscort."

Malware AVrecon sebagai Otak Botnet

SocksEscort dioperasikan menggunakan malware bernama AVrecon, yang telah didokumentasikan secara publik oleh Lumen Black Lotus Labs pada Juli 2023, meskipun diperkirakan aktif sejak Mei 2021. Botnet ini mulai menyerang sekitar 280.000 alamat IP sejak awal 2025.

AVrecon tidak hanya mengubah perangkat menjadi proxy SocksEscort, tetapi juga mampu membuka akses shell jarak jauh ke server yang dikendalikan penyerang dan mengunduh serta menjalankan payload berbahaya. Malware ini menargetkan sekitar 1.200 model perangkat dari produsen seperti Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link, dan Zyxel.

Menurut peringatan dari Federal Bureau of Investigation (FBI) AS, "Sebagian besar perangkat yang terinfeksi adalah router kantor kecil atau rumah yang diserang melalui celah kritis seperti Remote Code Execution (RCE) dan command injection." Malware ini ditulis dalam bahasa C dan menargetkan perangkat dengan arsitektur MIPS dan ARM.

Untuk menjaga keberlangsungan infeksi, pelaku menggunakan mekanisme pembaruan perangkat untuk menginstal firmware kustom yang sudah berisi AVrecon. Firmware ini dijalankan saat perangkat menyala dan sekaligus menonaktifkan fitur pembaruan dan flashing, sehingga perangkat tetap terinfeksi secara permanen.

Signifikansi dan Ancaman yang Dihadapi

Tim Black Lotus Labs menyatakan, "Botnet ini merupakan ancaman serius karena dipasarkan secara eksklusif kepada pelaku kriminal dan hanya terdiri dari perangkat edge yang telah dikompromikan." Dalam beberapa tahun terakhir, SocksEscort mempertahankan rata-rata 20.000 korban unik setiap minggu dengan komunikasi yang melewati sekitar 15 node command-and-control (C2).

Analisis Redaksi

Menurut pandangan redaksi, pembongkaran botnet SocksEscort menandai keberhasilan signifikan dalam upaya global melawan kejahatan siber yang semakin kompleks dan tersebar lintas negara. Pemanfaatan perangkat router residensial sebagai proxy jahat ini menunjukkan bahwa keamanan perangkat IoT dan jaringan rumah menjadi titik lemah yang sangat rentan dieksploitasi.

Selain kerugian finansial yang besar, botnet ini juga berpotensi dipakai untuk berbagai kejahatan siber yang lebih serius, termasuk serangan DDoS dan penyebaran materi ilegal yang dapat merusak reputasi dan keamanan nasional. Penegakan hukum perlu terus mengkoordinasikan operasi serupa dan mendorong produsen perangkat meningkatkan keamanan firmware mereka.

Kedepannya, masyarakat pengguna internet harus lebih waspada terhadap keamanan perangkat mereka dengan rutin memperbarui firmware dan mengamankan akses router. Sementara itu, pemerintah dan sektor swasta wajib memperkuat kerjasama untuk mendeteksi dan mencegah serangan yang memanfaatkan botnet seperti SocksEscort.

Terus ikuti perkembangan berita keamanan siber untuk mendapat informasi terbaru tentang upaya penanggulangan ancaman digital yang semakin canggih ini.