Démantèlement du réseau Socksescort via des modems infectés Démantèlement international du réseau Socksescort et de son proxy SOCKS5, alimenté par AVRecon sur des modems infectés, avec saisies de Bitsidy et de 23 serveurs.
Le démantèlement du réseau Socksescort, qui proposait des proxys SOCKS5 et s’appuyait sur plus d’un million de modems infectés par le malware AVRecon, a été clos après une opération transfrontière menée en Europe et aux États‑Unis. Les autorités estiment que Socksescort aurait généré plus de 5 millions d’euros de chiffre d’affaires et que les paiements passaient par Bitsidy, une plateforme de cryptomonnaie saisie lors de l’action.
Comment fonctionnait Socksescort
Le service s’appuyait sur des modems infectés pour fournir des relais de trafic à des clients souhaitant contourner des blocages géographiques, esquiver des systèmes antispam ou envoyer des emails en masse. Le site annonçait des adresses IP statiques et affirmait disposer d’un stock de plusieurs dizaines de milliers de points de terminaison répartis dans le monde.
Les tarifs débutaient à 15 dollars par mois pour 30 proxies, avec des remises possibles pour le volume ou les engagements de longue durée, et les paiements acceptés en cryptomonnaies courantes.
Cadre judiciaire et immenses enjeux financiers
Actif depuis 2021 dans sa forme actuelle, Socksescort a affiché au 11 mars un bandeau d’information aux couleurs d’Europol, du FBI et des forces de police de plusieurs pays européens. Une « action coordonnée » a conduit à la saisie de 23 serveurs dans sept pays et à la mise hors ligne du service.
« Ce malware, qui sévissait depuis 2019, infectait les modems appartenant à des particuliers ou des organisations et les plaçait sous le contrôle de Socksescort.com. Les machines infectées devenaient ainsi, à l’insu de leurs propriétaires, des relais de trafic pour les clients de socksescort.com », décrit le Parquet.
Aux États‑Unis, l’enquête pointe des fraudes et arnaques réalisées grâce à l’accès acheté via Socksescort, permettant de dissimuler des adresses IP et localisations réelles et facilitant des piratages de comptes bancaires et des demandes d’allocations chômage frauduleuses. Les autorités américaines ont par ailleurs saisi l’équivalent de 3,5 millions de dollars en cryptomonnaies.
Du côté économique, Bitsidy, le processeur de paiement en cryptomonnaies associé au même groupe, a été mis hors ligne; les enquêteurs estiment qu’elle a perçu plus de 5 millions d’euros des clients de socksescort.com.
Contexte international et aperçu en France
La France était moins représentée dans l’architecture du réseau, probablement à cause de la prédominance des box opérateurs. Le site du 4 mars 2026 indiquait 35 915 proxys dans 102 pays, dont 454 en France, 14 720 aux États‑Unis, 5 317 au Royaume‑Uni et 695 en Italie. Une partie de l’infrastructure avait toutefois été identifiée en France, ce qui explique l’ouverture d’une enquête préliminaire par le parquet de Paris, confiée à l’OFAC dès 2024.
Selon les autorités américaines, des cybercriminels ont utilisé l’accès acheté sur Socksescort pour dissimuler leurs adresses IP et mener des fraudes variées. Le parallèle avec des incidents similaires du passé, comme celui du malware Mirai en 2016, rappelle que les modems domestiques restent des vecteurs sensibles lorsque leur sécurité n’est pas renforcée.
Pour terminer
Ce démantèlement démontre que les réseaux invisibles reposant sur des modems compromis peuvent être ciblés et neutralisés grâce à une coopération internationale. La question demeure: jusqu’où s’étend la décentralisation de ces services et quelles mesures de sécurité vont freiner ce type d’exploitation à l’avenir ?
