SocksEscapeott Malicious Proxy Collapses, $3.5 Million in Cryptocurrency Frozen

Tổ chức Cảnh sát hình sự châu Âu (Europol) phối hợp với Bộ Tư pháp Hoa Kỳ ngày 11 tháng 3 đã công bố kết quả của “Chiến dịch Sấm sét” (Operation Lightning), thành công trong việc phá vỡ dịch vụ proxy độc hại “SocksEscort”. Chính quyền Mỹ đã phong tỏa 3,5 triệu USD tiền điện tử liên quan đến vụ án này và đã niêm phong 34 tên miền cùng 23 máy chủ tại bảy quốc gia.

Quy mô hoạt động: Kết quả định lượng của hợp tác pháp luật xuyên quốc gia

Cuộc điều tra bắt đầu từ tháng 6 năm 2025 do Nhóm hành động chống tội phạm mạng của Europol (J-CAT) dẫn đầu. Phát hiện ra một mạng botnet gồm các router gia đình bị nhiễm mã độc, được tuyển dụng bí mật làm các máy chủ proxy để che giấu nguồn gốc hoạt động phạm tội trên mạng.

Thông báo của Văn phòng Công tố Liên bang miền Đông California cho biết đến tháng 2 năm 2026, ứng dụng SocksEscort đã ghi nhận khoảng 8.000 router bị nhiễm, trong đó khoảng 2.500 thiết bị nằm trong lãnh thổ Hoa Kỳ. Các nền tảng thanh toán liên quan đến vụ án này ước tính đã nhận hơn 5,7 triệu USD tiền điện tử, trong đó chính quyền Mỹ đã phong tỏa 3,5 triệu USD.

Giám đốc điều hành của Europol, bà Catherine De Bolle, phát biểu: “Việc phá bỏ cơ sở hạ tầng này đã phá vỡ một dịch vụ thúc đẩy tội phạm mạng trên toàn cầu.”

Ứng dụng phạm tội của SocksEscort: Từ trộm cắp tài khoản tiền điện tử đến khai thác trẻ em

Các cáo buộc của Bộ Tư pháp Hoa Kỳ tiết lộ rằng mạng proxy SocksEscort đã được sử dụng cho nhiều hoạt động phạm tội khác nhau:

• Chiếm đoạt tài khoản ngân hàng và tiền điện tử: Sử dụng proxy để che giấu nguồn truy cập, thực hiện các cuộc tấn công chiếm đoạt tài khoản của nạn nhân

• Nộp đơn xin trợ cấp thất nghiệp giả mạo: Nộp đơn hưởng trợ cấp dựa trên danh nghĩa người khác để lừa đảo chính phủ

• Tấn công bằng phần mềm đòi tiền chuộc (Ransomware): Phân phối và triển khai phần mềm đòi tiền chuộc qua mạng proxy

• Tấn công từ chối dịch vụ phân tán (DDoS): Sử dụng router botnet để thực hiện các cuộc tấn công DDoS

• Phát tán nội dung quấy rối tình dục trẻ em (CSAM): Truyền bá nội dung bất hợp pháp qua các thiết bị bị nhiễm

Các công tố viên liên bang Mỹ dẫn chứng nhiều vụ việc cụ thể: Một khách hàng của sàn giao dịch tiền điện tử tại New York bị lừa mất tài sản trị giá 1 triệu USD, một nhà sản xuất tại Pennsylvania bị thiệt hại 700.000 USD, cùng nhiều cựu chiến binh và quân nhân hiện tại bị lừa tổng cộng 100.000 USD.

Các câu hỏi thường gặp

SocksEscort là gì, hoạt động như thế nào?

SocksEscort là một dịch vụ proxy độc hại, bằng cách xâm nhập vào các router gia đình và thiết bị IoT nhỏ trên toàn cầu, biến các thiết bị bị nhiễm thành các máy chủ proxy, cung cấp quyền truy cập cho khách hàng trả phí. Khách hàng có thể sử dụng các “proxy nhà” này để che giấu nguồn hoạt động mạng thực sự, thực chất là sử dụng địa chỉ IP của các người dùng gia đình bình thường để thực hiện các hoạt động phạm tội.

Chiến dịch phá bỏ này đã phong tỏa bao nhiêu tiền điện tử, các quốc gia nào liên quan?

Chính quyền Mỹ đã phong tỏa 3,5 triệu USD tiền điện tử liên quan đến vụ án này, trong khi các nền tảng thanh toán liên quan ước tính đã nhận hơn 5,7 triệu USD tiền điện tử. Các hoạt động pháp lý diễn ra đồng thời tại bảy quốc gia, với 34 tên miền và 23 máy chủ bị niêm phong.

SocksEscort được sử dụng như thế nào trong các vụ lừa đảo tiền điện tử?

Các tội phạm sử dụng proxy của SocksEscort để che giấu nguồn truy cập mạng của mình, từ đó tấn công chiếm đoạt tài khoản tiền điện tử bằng cách giả mạo địa chỉ IP hợp pháp của các người dùng nhà để vượt qua các cơ chế xác thực dựa trên vị trí địa lý. Trong một vụ việc, một khách hàng của sàn giao dịch tại New York đã bị lừa mất tài sản trị giá 1 triệu USD theo cách này.