Europol ha annunciato il successo di un’operazione internazionale contro SocksEscort, un servizio proxy illecito che, secondo gli investigatori, ha sfruttato oltre 369 mila router e dispositivi Internet of Things compromessi in 163 Paesi. L’azione, battezzata Operation Lightning, si è svolta l’11 marzo 2026 con il coinvolgimento delle autorità di Austria, Francia, Paesi Bassi e Stati Uniti, insieme a Eurojust.
Secondo quanto reso noto da Europol, durante la giornata operativa le forze dell’ordine hanno sequestrato o messo fuori uso 34 domini e 23 server collocati in sette Paesi. Negli Stati Uniti è stato inoltre disposto il congelamento di circa 3,5 milioni di dollari in criptovalute. Le autorità hanno anche interrotto il collegamento tra il servizio e i modem infetti impiegati per fornire la rete di proxy ai clienti della piattaforma.
Il caso fotografa un fenomeno spesso poco visibile al grande pubblico ma molto rilevante sul piano investigativo. I servizi proxy di questo tipo consentono infatti a criminali informatici e altri soggetti malevoli di mascherare il proprio indirizzo IP reale, instradando il traffico attraverso dispositivi compromessi di persone ignare. In questo modo, la connessione che appare nei log e nelle attività online non coincide con quella del vero autore dell’azione. Europol sottolinea che proprio questa copertura digitale ha favorito attività come ransomware, attacchi DDoS e persino la distribuzione di materiale pedopornografico.
L’indagine era partita nel giugno 2025 all’interno della Joint Cyberaction Task Force (J-CAT) di Europol. Da lì gli investigatori hanno ricostruito l’esistenza di una vera e propria botnet composta soprattutto da router residenziali infettati tramite una vulnerabilità che colpiva i modem domestici di uno specifico marchio, non indicato nel comunicato pubblico. Una volta compromessi, questi apparati venivano trasformati in punti di uscita per il traffico dei clienti del servizio SocksEscort, senza che i proprietari ne avessero consapevolezza.
Il modello di business descritto da Europol era strutturato in modo piuttosto chiaro. Il sito offriva un servizio proxy a pagamento e permetteva ai clienti di acquistare licenze per usare gli indirizzi IP sottratti ai dispositivi compromessi. L’accesso passava attraverso una piattaforma di pagamento che consentiva acquisti anonimi in criptovaluta. Secondo la stima degli investigatori, questa infrastruttura avrebbe incassato oltre 5 milioni di euro dai clienti del servizio.
Nel comunicato, Catherine De Bolle, direttrice esecutiva di Europol, evidenzia che l’anonimato resta uno degli elementi centrali della criminalità informatica. Colpire l’infrastruttura proxy, in questa prospettiva, non significa soltanto chiudere un sito, ma interrompere una catena di supporto che rende possibili molti altri reati online. Anche il commissario europeo per gli Affari interni e la migrazione, Magnus Brunner, ha insistito sul valore della cooperazione transatlantica tra autorità europee e statunitensi nel contrasto al cybercrime.
Europol ha avuto un ruolo di coordinamento e supporto tecnico nell’inchiesta. L’agenzia ha riferito di avere contribuito con crypto tracing, analisi del malware, analisi dei flussi di rete, controlli incrociati sui propri database e produzione di intelligence operativa. Nel giorno dell’operazione ha inoltre ospitato all’Aia un Virtual Command Post per facilitare il coordinamento tra i partner coinvolti.
Dal punto di vista della sicurezza informatica, il caso SocksEscort mostra ancora una volta quanto router, modem e dispositivi IoT rappresentino un anello debole quando non ricevono aggiornamenti regolari. Europol raccomanda a utenti e produttori di aggiornare con frequenza il firmware dei dispositivi, proprio per ridurre il rischio che vulnerabilità note vengano sfruttate per trasformare apparati di uso quotidiano in strumenti al servizio di reti criminali.
Sul piano più ampio, l’operazione conferma anche un altro aspetto: dietro molti attacchi informatici non ci sono soltanto singoli malware o singoli gruppi, ma servizi criminali specializzati che vendono infrastruttura, anonimato e capacità operative ad altri attori. Smantellare queste piattaforme può quindi avere un effetto che va oltre il singolo caso, perché riduce la disponibilità di strumenti pronti all’uso per una vasta gamma di attività illegali. Questa lettura è un’inferenza coerente con il ruolo attribuito da Europol a SocksEscort come infrastruttura abilitante per più forme di cybercrime.
