SocksEscrow Malicious Proxy Falls, $3.5 Million in Cryptocurrency Frozen

欧洲刑警组织与美国司法部于 3 月 11 日联合宣布“闪电行动”（Operation Lightning）的成果，成功摧毁恶意代理服务“SocksEscort”，美国当局冻结了与此案相关的 350 万美元加密货币，并在七个国家查封了 34 个域名和 23 台服务器。

行动规模：跨七国执法的量化成果

此次调查始于 2025 年 6 月，由欧洲刑警组织联合网络犯罪行动工作组（J-CAT）主导，调查发现了一个由受感染家用路由器构成的僵尸网络，这些设备被秘密招募为代理服务器，用于掩盖犯罪行为的网络来源。

加州东区联邦检察官办公室的公告显示，截至 2026 年 2 月，SocksEscort 应用程序已记录了约 8,000 台受感染路由器，其中约 2,500 台位于美国境内。与此案相关的支付平台估计累计收到了超过 570 万美元（约 500 万欧元）的加密货币，而美国当局冻结了其中的 350 万美元。

欧洲刑警组织执行董事凯瑟琳·德·博勒（Catherine De Bolle）表示：“通过拆除这一基础设施，执法部门破坏了一项在全球范围内助长网络犯罪的服务。”

SocksEscort 的犯罪应用：加密账户盗窃到儿童性剥削

美国司法部的指控揭示了 SocksEscort 代理网络被用于多种犯罪活动：

银行和加密货币账户盗用：利用代理掩盖访问来源，对受害者实施账户接管攻击

虚假失业救济金申请：以他人身份提交福利申请，骗取政府资金

勒索软件（Ransomware）攻击：通过代理网络分发和部署勒索软件

DDoS 攻击：利用僵尸路由器执行分散式拒绝服务攻击

散布儿童性虐待材料（CSAM）：通过受感染设备传播非法内容

美国联邦检察官援引多起具体受害案例：一名纽约加密货币交易所客户涉嫌被骗走价值 100 万美元的数字资产，一名宾州制造商涉嫌损失了 70 万美元，以及多名现役和退役军人涉嫌被合计骗走 10 万美元。

常见问题

SocksEscort 是什么，它是如何运作的？

SocksEscort 是一个恶意代理服务，通过入侵全球家庭和小型企业的路由器及物联网设备，将这些受感染的设备转化为代理服务器，并向付费客户提供访问权限。客户可以通过这些“住宅代理”掩盖其网络活动的真实来源，实际上是在使用普通家庭用户的 IP 地址进行犯罪活动。

此次摧毁行动冻结了多少加密货币，涉及哪些国家？

美国当局冻结了与此案相关的 350 万美元加密货币，与此案相关的支付平台估计累计收到超过 570 万美元的加密货币。执法行动在七个国家同步进行，查封了 34 个域名和 23 台服务器。

SocksEscort 如何被用于加密货币诈骗？

犯罪者通过 SocksEscort 提供的代理服务器掩盖其网络连接来源，从看似来自合法住宅 IP 地址的位置发起对加密货币账户的接管攻击，绕过基于地理位置的安全验证机制。其中一起案例中，一名纽约加密货币交易所客户涉嫌通过这种方式被骗走了价值 100 万美元的数字资产。