SocksEscort was een proxydienst die cybercriminelen in staat stelde hun identiteit en locatie te verhullen door internetverkeer via gehackte apparaten van nietsvermoedende gebruikers te laten lopen. Op 11 maart 2026 werd de infrastructuur van de dienst offline gehaald in de internationale operatie ‘Operation Lightning’. Deze actie vond plaats onder coördinatie van Europol, met betrokkenheid van onder meer Nederland, de Verenigde Staten, Frankrijk en Oostenrijk. [europol.europa.eu], [politie.nl]

De Nederlandse politie maakte op 12 maart 2026 bekend dat het Team Cybercrime van de politie Limburg, onder leiding van het Openbaar Ministerie en in samenwerking met internationale partners, betrokken was bij het ontmantelen van de dienst. [politie.nl]

Aard van de criminaliteit

SocksEscort fungeerde als een proxydienst: een tussenstation op internet dat het werkelijke IP‑adres van de gebruiker verbergt, waardoor het lijkt alsof online activiteiten afkomstig zijn van een ander apparaat. [politie.nl]

De dienst maakte gebruik van een grootschalig netwerk van gecompromitteerde apparaten, zoals routers en camera’s van thuisgebruikers. In totaal ging het om meer dan 369.000 geïnfecteerde apparaten in 163 landen, die zonder medeweten van de eigenaars werden gebruikt als proxy. Het platform heeft volgens Europol naar schatting meer dan 5 miljoen euro met hun activiteiten verdiend. [europol.europa.eu], [justice.gov]

Volgens het Amerikaanse ministerie van Justitie infecteerde SocksEscort deze apparaten met malware, waardoor het netwerk internetverkeer kon doorsturen en deze toegang tegen betaling kon worden verkocht aan klanten.
Cybercriminelen gebruikten deze infrastructuur om hun werkelijke locatie te verhullen en uiteenlopende strafbare feiten te plegen, waaronder fraude, ransomware‑aanvallen en andere vormen van cybercrime. [justice.gov] Zie ook voor meer achtergrond informatie Who and What is Behind the Malware Proxy Service SocksEscort? – Krebs on Security

Opsporing en aanpak

Het onderzoek naar SocksEscort werd opgezet binnen Europol’s samenwerkingskader en leidde tot Operation Lightning. Tijdens de actiedag op 11 maart 2026 werd de infrastructuur van de dienst ontmanteld. [europol.europa.eu]

Bij deze gecoördineerde actie:

• werden 34 domeinnamen en 23 servers in zeven landen in beslag genomen of offline gehaald;
• werden geïnfecteerde apparaten losgekoppeld van het proxynetwerk;
• en werd een aanzienlijke hoeveelheid data veiliggesteld voor verder onderzoek.

Daarnaast bevroor de Verenigde Staten ongeveer 3,5 miljoen dollar aan cryptovaluta die aan de dienst gelinkt waren.

Europol benadrukt ook hun analyse-activiteiten:

Europol played a crucial role in supporting the investigation by participating in online and physical meetings, hosting and participating in data sprints, conducting crypto tracing, malware analysis, and network flow analysis. The Agency also provided operational analytical support, cross-checks against its databases, and created and distributed intelligence products.

Nederlandse betrokkenheid

Het Team Cybercrime Limburg speelde een actieve rol in het onderzoek en de verstoringsactie, onder gezag van het Openbaar Ministerie en in samenwerking met buitenlandse partners. [politie.nl]

In Nederland bleek een beperkt aantal apparaten geïnfecteerd. De eigenaren daarvan zijn door de politie geïnformeerd.

Daarnaast is data van gebruikers van de proxydienst in beslag genomen, waarmee vervolgonderzoek naar afnemers en mogelijke strafbare feiten wordt uitgevoerd.

Ten slotte heeft de Nederlandse politie een informatiepagina gepubliceerd. Op de website is te lezen:

Doe zelf de check – zijn jouw slimme apparaten veilig?

Het blijkt dat wereldwijd duizenden slimme apparaten (bijvoorbeeld routers of camera’s) die geen updates meer ontvangen, worden misbruikt als digitale dekmantel voor criminele activiteiten zoals phishing en ransomware-aanvallen. Als jouw slimme apparaten worden gehackt, dan kan dit leiden tot trager internet, onbetrouwbare verbindingen of zelfs het verlies van persoonlijke gegevens. Cybercriminelen kunnen toegang krijgen tot je netwerk en je apparaten infecteren met malware.

Zorg er dus voor dat jouw slimme apparaten up-to-date zijn. Worden ze niet (meer) ondersteund? Vervang ze dan!

Kijk voor meer informatie op: https://veiliginternetten.nl/doe-je-updates/.