SocksEscort 惡意代理倒台，350 萬美元加密貨幣被凍結

歐洲刑警組織與美國司法部於 3 月 11 日聯合宣布「閃電行動」（Operation Lightning）的成果，成功搗毀惡意代理服務「SocksEscort」，美國當局凍結了與此案相關的 350 萬美元加密貨幣，並在七個國家查封了 34 個網域和 23 台伺服器。

行動規模：跨七國執法的量化成果

此次調查始於 2025 年 6 月，由歐洲刑警組織聯合網路犯罪行動工作組（J-CAT）主導，調查發現了一個由受感染家用路由器構成的殭屍網絡，這些設備被秘密招募為代理伺服器，用於掩蓋犯罪行為的網路來源。

加州東區聯邦檢察官辦公室的公告顯示，截至 2026 年 2 月，SocksEscort 應用程式已記錄了約 8,000 台受感染路由器，其中約 2,500 台位於美國境內。與此案相關的支付平台估計累計收到了超過 570 萬美元（約 500 萬歐元）的加密貨幣，而美國當局凍結了其中的 350 萬美元。

歐洲刑警組織執行董事凱瑟琳·德·博勒（Catherine De Bolle）表示：「通過拆除這一基礎設施，執法部門破壞了一項在全球範圍內助長網路犯罪的服務。」

SocksEscort 的犯罪應用：加密帳戶盜竊到兒童性剝削

美國司法部的指控揭示了 SocksEscort 代理網絡被用於多種犯罪活動：

銀行和加密貨幣帳戶盜用：利用代理掩蓋訪問來源，對受害者實施帳戶接管攻擊

虛假失業救濟金申請：以他人身份提交福利申請，騙取政府資金

勒索軟體（Ransomware）攻擊：透過代理網絡分發和部署勒索軟體

DDoS 攻擊：利用殭屍路由器執行分散式拒絕服務攻擊

散布兒童性虐待材料（CSAM）：透過受感染設備傳播非法內容

美國聯邦檢察官援引多起具體受害案例：一名紐約加密貨幣交易所客戶據稱被騙走價值 100 萬美元的數位資產，一名賓州製造商據稱損失了 70 萬美元，以及多名現役和退役軍人據稱被合計騙走 10 萬美元。

常見問題

SocksEscort 是什麼，它是如何運作的？

SocksEscort 是一個惡意代理服務，透過入侵全球家庭和小型企業的路由器及物聯網設備，將這些受感染的設備轉化為代理伺服器，並向付費客戶提供訪問權限。客戶可以透過這些「住宅代理」掩蓋其網路活動的真實來源，實際上是在使用普通家庭用戶的 IP 地址進行犯罪活動。

此次搗毀行動凍結了多少加密貨幣，涉及哪些國家？

美國當局凍結了與此案相關的 350 萬美元加密貨幣，與此案相關的支付平台估計累計收到超過 570 萬美元的加密貨幣。執法行動在七個國家同步進行，查封了 34 個網域和 23 台伺服器。

SocksEscort 如何被用於加密貨幣詐欺？

犯罪者透過 SocksEscort 提供的代理伺服器掩蓋其網路連線來源，從看似來自合法住宅 IP 地址的位置發起對加密貨幣帳戶的接管攻擊，繞過基於地理位置的安全驗證機制。其中一起案例中，一名紐約加密貨幣交易所客戶據稱透過這種方式被騙走了價值 100 萬美元的數位資產。