Internationales
Internationale Operation gegen Cyberkriminalität: Anonymisierungs-Dienst "Socks Escort" zerschlagen
Im Rahmen einer internationalen Kooperation ist es Ermittlungsbehörden gelungen, den weltweit agierenden Proxy-Dienst "Socks Escort" zu zerschlagen. Die koordinierte Operation "Lightning", die von Europol gemeinsam mit Strafverfolgungsbehörden aus Österreich, Frankreich, den Niederlanden und den Vereinigten Staaten sowie mit Unterstützung von Eurojust durchgeführt wurde, richtete sich gegen ein kriminelles Netzwerk, das tau-sende private Router weltweit kompromittiert hatte.
Am gemeinsamen Einsatztag konnten die beteiligten Behörden 27 Internet-Domains sowie sieben sogenannte Command-and-Control-Server (C2) in Frankreich, den Niederlanden und den Vereinigten Staaten abschalten und sicherstellen. Diese Server dienten der Steuerung eines Botnetzes aus kompromittierten Geräten.
Im Zuge der weiteren Ermittlungen erstellen die niederländischen Behörden derzeit Analysepakete mit Informationen zu kompromittierten IP-Adressen. Diese werden an die jeweils betroffenen Staaten übermittelt, um dort weitere strafrechtliche Ermittlungen und Maß-nahmen einzuleiten.
"Ich gratuliere allen beteiligten Behörden und Ermittlerinnen und Ermittlern zu diesem bedeutenden Erfolg. Die Operation Lightning zeigt einmal mehr, dass nur durch enge internationale Kooperation und professionellen Informationsaustausch nachhaltige Erfolge im Kampf gegen Cyberkriminalität erzielt werden können", betont der Direktor des Bundeskriminalamtes, Andreas Holzer.
Botnetz aus kompromittierten Routern aufgebaut
Die Ermittlungen wurden im Juni 2025 durch die bei Europol angesiedelte Joint Cybercrime Action Taskforce (J-CAT) eingeleitet. Im Zuge der internationalen Zusammenarbeit konnten Ermittlerinnen und Ermittler feststellen, dass ein umfangreiches Botnetz aus infizierten Geräten aufgebaut hatte.
Bei den betroffenen Geräten handelte es sich überwiegend um private Internetrouter, die über eine Sicherheitslücke in den Kabelmodems älterer Generationen kompromittiert wurden. Die infizierten Geräte wurden anschließend über den Proxy-Dienst "Socks Escort" kriminellen Kunden zur Verfügung gestellt.
Die Nutzer dieses Dienstes konnten gegen Bezahlung entsprechende Zugänge beziehungsweise Lizenzen erwerben, um die kompromittierten Geräte als Proxy-Infrastruktur zu missbrauchen. Dadurch war es möglich, die eigene tatsächliche IP-Adresse zu verschleiern und Straftaten anonym über die infizierten Geräte auszuführen.
Das Botnetz wurde unter anderem für folgende kriminelle Aktivitäten eingesetzt:
• Durchführung von Ransomware-Angriffen
• Distributed-Denial-of-Service-Attacken (DDoS) auf IT-Systeme
• Verbreitung von Darstellungen sexuellen Kindesmissbrauchs (CSAM)
Durch die Nutzung der infizierten Router konnten Täter ihre Aktivitäten verschleiern und Ermittlungen erheblich erschweren.
Wichtige Rolle internationaler Zusammenarbeit
Europol unterstützte die Ermittlungen umfassend als zentrale Koordinations- und Analyseplattform. Dazu zählten unter anderem die Organisation und Durchführung von Online- und Präsenztreffen der beteiligten Behörden, sogenannte Data-Sprints, sowie umfangreiche analytische Unterstützungsleistungen.
Darüber hinaus führten Expertinnen und Experten von Europol Kryptowährungsanalysen (Crypto-Tracing), Malware-Analysen sowie Analysen von Netzwerkdatenströmen durch. Ergänzend erfolgten Datenbankabgleiche sowie die Erstellung und Verteilung operativer Analyseprodukte an die beteiligten Ermittlungsbehörden.
Am Einsatztag richtete Europol in seinem Hauptsitz in Den Haag einen virtuellen Command Post ein, um die internationale Zusammenarbeit und Koordination der Maßnahmen in Echtzeit zu ermöglichen. Parallel dazu unterstützte Europol vom bei Eurojust eingerichteten Command Post aus weitere Ermittlungsmaßnahmen, insbesondere im Bereich der Kryptowährungsanalyse.
Internationale Ermittlungsergebnisse:
• Einfrierung von rund 3,5 Millionen US-Dollar in Tether (USDT)
• Sicherstellung von rund 20.000 Euro in Bitcoin (BTC)
• Sicherstellung von rund 20.000 Euro in Litecoin (LTC)
• Sicherstellung von 34 Domains
• Sicherstellung von 22 Servern der Täterinfrastruktur
Opfer auch in Österreich
Im Zuge einer Ransomware-Ermittlung wurde das Cybercrime-Competence-Center im Bundeskriminalamt bereits im August 2024 auf das Residential-Proxy-Netzwerk "SocksE-scort" aufmerksam. Erste Analysen ergaben, dass zu diesem Zeitpunkt 67 österreichische Netzwerke, darunter sowohl Privathaushalte als auch kleinere Unternehmen, kompromittiert waren und Teil des kriminellen Netzwerks wurden. Die Täter übernahmen dabei gezielt Internetrouter, auf denen Schadsoftware installiert wurde, die eine dauerhafte Verbindung zu sogenannten Command-and-Control-Servern herstellte.
Durch umfangreiche Netzwerk-, Malware- und Blockchainanalysen gelang es unter anderem, eine Live-Infizierung eines Routers zu dokumentieren, die eingesetzte Schadsoftware zu extrahieren sowie zahlreiche Server der Täterinfrastruktur zu identifizieren. Im Rahmen der österreichischen Ermittlungen konnten im September 2025 mehrere Maßnahmen gegen die Täterinfrastruktur gesetzt werden. Insgesamt waren in Österreich mehr als 700 Opfer betroffen.
Prävention: Regelmäßige Updates schützen vor Angriffen
Die Ermittlungen zeigen erneut, wie wichtig die regelmäßige Aktualisierung von Firmware und Sicherheitsupdates bei internetfähigen Geräten ist. Nutzerinnen und Nutzer sowie Hersteller werden daher dringend empfohlen, verfügbare Sicherheitsupdates zeitnah ein-zuspielen, um das Risiko einer Kompromittierung ihrer Geräte zu minimieren. Geräte, für die keine Sicherheitsupdates mehr bereitgestellt werden ("End of Life" Status, sollten aus Sicherheitsgründen durch aktuelle Modelle ersetzt werden.
Die erfolgreiche Operation verdeutlicht zudem die Bedeutung enger internationaler Zusammenarbeit bei der Bekämpfung von Cyberkriminalität. Durch den koordinierten Einsatz der beteiligten Behörden konnte eine wesentliche Infrastruktur für kriminelle Aktivitäten nachhaltig zerschlagen werden.