Europol lukker SocksEscort: Globalt proxy‑imperium bygget på kaprede routere faldet

Eskil Sørensen
03.13.2026 13:01
Operation Lightning rammer 34 domæner, 23 servere og hundredtusinder af inficerede SOHO‑enheder

Et tæt internationalt samarbejde mellem europæiske og amerikanske myndigheder kulminerede den 11. marts i en af de mest markante nedlukninger af en kriminel proxy‑infrastruktur i nyere tid. Under navnet Operation Lightning gik Europol, Eurojust og en bred kreds af nationale retshåndhævende myndigheder målrettet efter SocksEscort, en tjeneste der i årevis har misbrugt kompromitterede hjemme‑ og virksomhedsroutere som anonymiseringslag for cyberkriminelle.

Det fremgår af en pressemeddelelse fra Europol, der bl.a. er omtalt i Tech Crunch.

Ifølge Europol var mere end 369.000 routere og IoT‑enheder i 163 lande kompromitteret, og tjenesten har gennem årene tilbudt sine kunder adgang til mere end 35.000 aktive proxy‑endpoints. Med andre ord: Et fuldautomatisk, globalt “skyggenetværk”, hvor intetanende borgeres modemmer blev brugt som kilde-IP for hackere, svindlere og distribueret ulovligt indhold.

En global nedlukning i flere led

På selve ­da­gen for aktionen lykkedes det myndighederne at:

  • beslaglægge 34 domæner tilhørende tjenesten
  • nedtage eller kontrollere 23 servere spredt over syv lande
  • fryse kryptovaluta for USD 3,5 mio.
  • afbryde alle inficerede modemer fra SocksEscort‑infrastrukturen

Europol understreger, at alle berørte lande nu vil blive underrettet som et led i forberedelsen af yderligere efterforskning.

EU‑kommissær Magnus Brunner opsummerede operationens betydning i et budskab, der rammer hovedet på sømmet: Internationalt cyberarbejde virker kun, hvis alle trykker på “Enter” samtidigt.

Cyberkriminelles bedste ven: anonymitet

Ifølge Europols direktør Catherine De Bolle udnyttede SocksEscort præcis dét, der gør internettet sårbart: anonymisering i stor skala. Infrastrukturens kernefunktion var at give kunderne mulighed for at maskere deres egen identitet bag IP‑adresser, der i alle systemer fremstod som almindelige, lovligt registrerede privatforbindelser.

SocksEscort blev blandt andet brugt til:

  • ransomwarekampagner
  • DDoS‑angreb
  • distribution af ulovligt materiale
  • diverse online‑svindeloperationer
  • Anonymitet som tjeneste i industrialiseret skala.

Routere udnyttet via kendt sårbarhed

Efterforskningen begyndte i juni 2025 gennem Europols Joint Cybercrime Task Force (J‑CAT). Den afdækkede, at botnettet primært bestod af residential modems fra et specifikt brand, kompromitteret via en sårbarhed, der tillod uautoriseret kodeeksekvering og efterfølgende installation af malware.

Det var netop denne malware, der gav SocksEscort adgang til at forvandle enheden til en proxy-node, helt uden routerejernes viden. Brugerne fortsatte deres hverdag; de eneste, der mærkede forskellen, var svindlerne — eller nu: politiet.

Europol opfordrer både producenter og brugere til bedre firmwarehygiejne. Et råd, der gentages igen og igen, men som i praksis er vanskeligt på et marked, hvor opdateringspolitikker varierer fra forbilledlige til fuldstændigt fraværende.

En fuldblods kriminel platform

Tjenesten fungerede som en klassisk pay‑as‑you‑go‑forretning for cyberkriminelle. For at få adgang til proxy‑infrastrukturen skulle kunderne betale i kryptovaluta via en anonymiseret betalingsplatform, som i løbet af sin levetid har modtaget over 5 mio. euro.

Tjenestens webinterface gjorde det muligt at:

  • vælge geografisk placering
  • filtrere efter forbindelsestype
  • købe tidsbegrænset eller volumenbaseret adgang

Kort sagt: En slags proxy‑Netflix for dem, der gerne vil skjule deres spor, men ikke gider selv at bygge botnettet.

Europols rolle som nervecenter

Som i mange af de senere års operationer fungerede Europol som teknisk og operativ hub. Agenturet:

  • afholdt data sprints
  • gennemførte krypterings- og krypto‑tracing‑analyser
  • lavede malware‑analyse og netværksflow‑analyse
  • krydstjekkede al information mod egne databaser
  • producerede og distribuerede efterretningspakker

På selve da­gen for aktionen blev der oprettet et virtuelt kommandocenter i Haag og yderligere støttepunkter hos Eurojust. Herfra blev arbejdet koordineret på tværs af myndigheder i USA og Europa.

Blandt de deltagende lande var Østrig, Holland, Frankrig, Tyskland, Ungarn, Rumænien, Bulgarien og USA 

 

Læs mere

Information