Jeudi, le parquet de Paris a annoncé qu’une vaste opération judiciaire internationale a permis de mettre hors ligne SocksEscort, un service de proxy cybercriminel qui s’appuyait sur un million de box internet infectées dans le monde entier.

Les autorités judiciaires française, américaine et néerlandaise ont annoncé, jeudi, avoir coordonné une opération d’envergure contre SocksEscort, l’un des plus grands réseaux de proxys cybercriminels jamais démantelés. L’action, qui a eu lieu la veille, le mercredi 11 mars 2026, a mis fin à un service derrière lequel se cachait le malware AVRecon, qui infectait en silence des modems de particuliers depuis 2019. 23 serveurs ont été saisis, ainsi que 5 millions d’euros détournés.

Le malware AVRecon transformait des box internet en relais cybercriminels

En surface, SocksEscort ressemblait à n’importe quel fournisseur de proxys résidentiels. Ses clients payaient pour louer des adresses IP domestiques, histoire de brouiller les pistes, contourner des géoblocages ou agir dans l’anonymat. Un service présenté comme fiable, constamment mis à jour, et jamais blacklisté. Rassurant, presque professionnel.

Sauf que derrière ces adresses IP se trouvaient de vraies box internet, infectées par le malware AVRecon, actif depuis 2019, et détournées à l’insu total de leurs propriétaires. (...)

En quelques heures, 23 serveurs saisis et un million de modems déconnectés du réseau

C’est un signal d’alarme venu des États-Unis qui, en juin 2024, a bien fait avancer les choses. Les autorités apprennent alors que des serveurs du réseau criminel seraient hébergés en France. Le parquet de Paris prend l’affaire en main et la confie à l’OFAC, la cellule française dédiée à la lutte contre la cybercriminalité. Mois après mois, ses enquêteurs démêlent l’infrastructure du réseau et portent le dossier devant Eurojust.

Le 17 février 2026, la justice française a ouvert une instruction formelle contre les responsables du réseau.(...)