Redazione ilMetropolitano
L’11 marzo 2026, Europol, in collaborazione con le forze dell’ordine di Austria, Francia, Paesi Bassi e Stati Uniti, insieme a Eurojust, ha eseguito l’Operazione Lightning. Questo sforzo coordinato ha preso di mira il servizio proxy malevolo ‘SocksEscort’, che avrebbe compromesso oltre 369.000 router e dispositivi Internet of Things in 163 paesi, offrendo ai clienti ‘SocksEscort’ oltre 35.000 proxy negli ultimi anni.
Durante la giornata d’azione, le forze dell’ordine hanno ripreso e sequestrato con successo 34 domini e 23 server situati in sette paesi. Inoltre, gli Stati Uniti hanno congelato un totale di 3,5 milioni di USD in criptovalute. I modem infetti utilizzati per offrire il servizio proxy sono stati disconnessi dal servizio. Dopo questa rimozione, le autorità di polizia allerteranno i paesi coinvolti, aprendo la strada a ulteriori iniziative investigative.
Magnus Brunner – Commissario UE per gli Affari Interni e la Migrazione
Questa operazione dimostra quanto sia cruciale la stretta cooperazione internazionale nella lotta contro il cybercrimine. Quando le autorità europee di polizia agiscono insieme a partner dall’altra parte dell’Atlantico, possiamo smantellare efficacemente le reti criminali e proteggere meglio i nostri cittadini. Europol svolge un ruolo centrale come centro di scambio di informazioni e cooperazione operativa, affrontando con determinazione la natura sempre più globale del crimine informatico.
Catherine De Bolle – Direttore Esecutivo, Europol
Il crimine informatico prospera sull’anonimato. Servizi proxy come ‘SocksEscort’ forniscono ai criminali la copertura digitale necessaria per lanciare attacchi, distribuire contenuti illegali ed eludere la rilevazione. Smantellando questa infrastruttura, le forze dell’ordine hanno interrotto un servizio che ha permesso la criminalità informatica su scala globale. Operazioni come questa dimostrano che quando gli investigatori collegano i punti a livello internazionale, l’infrastruttura dietro il cybercrimine può essere esposta e chiusa.
foto di GNS
Dispositivi infetti tramite vulnerabilità sfruttate
L’indagine, iniziata nel giugno 2025 con l’apertura di un caso da parte della Joint Cyberaction Task Force (J-CAT) di Europol, ha rivelato che è stata creata una botnet di dispositivi infetti. Questi dispositivi, principalmente router residenziali, sono stati sfruttati per facilitare varie attività criminali, tra cui ransomware, attacchi DDoS e la distribuzione di materiale di abuso sessuale su minori (CSAM).
I dispositivi compromessi sono stati contaminati da una vulnerabilità nei modem residenziali di un marchio specifico. I clienti del servizio criminale pagavano per licenze per abusare di questi dispositivi contaminati, nascondendo i loro indirizzi IP originali per svolgere varie attività criminali. Per proteggersi da tali exploit, si consiglia ad utenti e fornitori di aggiornare regolarmente il firmware dei loro dispositivi.
Piattaforma del servizio penale
Il sito offriva un servizio proxy a pagamento, che dava ai clienti accesso agli indirizzi IP compromessi, permettendo loro di nascondere i propri. L’accesso agli indirizzi IP utilizzati è stato reso possibile dall’infezione di malware su modem appartenenti a individui o organizzazioni in tutto il mondo. Al caso di infezione con il malware, i proprietari dei modem non sarebbero a conoscenza che i loro indirizzi IP sono stati utilizzati per attività illegittime.
Per accedere al servizio proxy, i clienti dovevano utilizzare una piattaforma di pagamento che permettesse di acquistare il servizio in modo anonimo tramite criptovalute. Si stima che questa piattaforma di pagamento abbia ricevuto oltre 5 milioni di euro dai clienti del servizio proxy.
Europol come centro di intelligence
Europol ha svolto un ruolo cruciale nel supportare l’indagine partecipando a incontri online e fisici, ospitando e partecipando a sprint dati, conducendo tracciamento crypto, analisi di malware e analisi del flusso di rete. L’Agenzia forniva anche supporto analitico operativo, controlli incrociati con i propri database e creava e distribuiva prodotti di intelligence.
Nel giorno dell’azione, Europol ha ospitato un Posto di Comando Virtuale nelle sue sedi all’Aia, nei Paesi Bassi, per facilitare il coordinamento tra tutti i partner. Inoltre, Europol ha offerto supporto remoto dal Command Post istituito presso Eurojust per il tracciamento delle criptovalute e altro supporto investigativo. Questa operazione evidenzia l’importanza della cooperazione internazionale nella lotta alla criminalità informatica.
fonte: https://www.europol.europa.eu/media-press/newsroom/news/europol-and-international-partners-disrupt-socksescort-proxy-service?mtm_campaign=press-releases-just-published-20260312&utm_term=press-releases-just-published&mtm_source=newsletter&mtm_medium=email&mtm_content=title&mtm_group=news
