🌐 Contexte

Publié le 2 avril 2026 sur The Cyber Express, cet article fait suite au démantèlement du service proxy résidentiel criminel SocksEscort par le FBI et plusieurs agences internationales. L’enquête a mis en lumière le rôle central du malware AVrecon dans la construction et l’exploitation de cette infrastructure.

🦠 Fonctionnement d’AVrecon

AVrecon se propage en scannant Internet à la recherche de dispositifs exposant des services vulnérables. Les vecteurs d’infection incluent :

  • Vulnérabilités d’exécution de code à distance (RCE)
  • Injections de commandes
  • Failles dans les interfaces SOAP des panneaux d’administration de routeurs

Le malware, écrit en langage C, cible les architectures MIPS et ARM. Son framework C2 est modulaire, permettant l’ajout de nouveaux modules d’exploitation. Le FBI a identifié environ 1 200 modèles d’appareils ciblés de marques : Cisco, D-Link, Hikvision, MikroTik, Netgear, TP-Link et Zyxel.

Une fois installé, AVrecon :

  • Envoie un beacon C2 toutes les 60 secondes (boucle PING/PONG)
  • Peut ouvrir un shell distant vers un serveur contrôlé par l’attaquant
  • Fonctionne comme un loader téléchargeant des payloads supplémentaires
  • Met à jour sa propre configuration

🔒 Mécanisme de persistance

Sur certains modèles, AVrecon utilise la fonctionnalité de mise à jour firmware native pour flasher une image personnalisée contenant une copie codée en dur du malware, tout en désactivant les futures mises à jour. Ces appareils sont considérés comme définitivement infectés — un reset usine est inefficace si cette fonction a été désactivée. Sur les appareils sans modification firmware, un simple redémarrage peut éliminer l’infection, mais au moins un cas documenté montre une réinfection automatique par les serveurs C2.

💰 SocksEscort : le service criminel

SocksEscort vendait à des clients payants la capacité de tunneliser leur trafic via des routeurs compromis dans 163 pays, faisant apparaître les attaques comme provenant d’adresses IP résidentielles légitimes. Depuis 2020, environ 369 000 appareils ont été compromis et vendus.

Usages observés de l’infrastructure :

  • Fraude publicitaire
  • Exploitation de vulnérabilités web
  • Password spraying
  • Fraude sur marketplaces numériques
  • Fraude bancaire
  • Fraude romantique

📁 Indicateurs publiés

Le FBI mentionne les noms de fichiers malveillants suivants sur les appareils infectés :

  • x (loader)
  • dnssmasq (malware)

📰 Nature de l’article

Il s’agit d’une alerte de sécurité combinant les résultats d’une opération de police et une analyse technique, destinée à informer les défenseurs réseau et le grand public sur la menace AVrecon/SocksEscort.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • SocksEscort (cybercriminal)

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1542.001 — Pre-OS Boot: System Firmware (Persistence)
  • T1090.002 — Proxy: External Proxy (Command and Control)
  • T1584.005 — Compromise Infrastructure: Botnet (Resource Development)
  • T1110.003 — Brute Force: Password Spraying (Credential Access)
  • T1496 — Resource Hijacking (Impact)

IOC

  • x (loader)
  • dnssmasq (malware)

Malware / Outils

  • AVrecon (botnet)

🔗 Source originale : https://thecyberexpress.com/fbi-warns-of-avrecon-malware/

🖴 Archive : https://web.archive.org/web/20260402094442/https://thecyberexpress.com/fbi-warns-of-avrecon-malware/