DOJ und Europol beschlagnahmen $3,5 Mio. Krypto bei SocksEscort-Razzia

Das SocksEscort-Proxy-Netzwerk ist Geschichte — zerschlagen am 11. März durch einen koordinierten Zugriff von Europol, dem US-Justizministerium und Strafverfolgungsbehörden aus acht Ländern. Die Ermittler froren $3,5 Millionen in Kryptowährung ein, die mit der Operation in Verbindung standen, und beschlagnahmten die Infrastruktur hinter einem globalen Cybercrime-as-a-Service-Angebot, das unbemerkt Hunderttausende Geräte weltweit infiziert hatte.

Was war SocksEscort und wie groß war das Netzwerk?

Ein Botnet, das sich im Verborgenen versteckte

Auf seinem Höhepunkt hatte das SocksEscort-Proxy-Netzwerk mehr als 369.000 Router und IoT-Geräte in 163 Ländern kompromittiert und gewöhnliche Heim- und Kleinunternehmens-Hardware in anonyme Relay-Punkte für zahlende Kriminelle verwandelt. Laut Europol bot der Dienst zeitweise über 35.000 aktive Proxys an — ein vollständiger kommerzieller Marktplatz für verschleierten Internetverkehr.

Das Botnet zielte hauptsächlich auf Heimrouter ab. Und genau das macht die Sache besonders brisant: Der Router Ihres Nachbarn — oder Ihrer — könnte an Ransomware-Banden und Betrüger vermietet worden sein, ohne dass einer von Ihnen jemals davon erfahren hätte.

Durch die Zerschlagung dieser Infrastruktur haben die Strafverfolgungsbehörden einen Dienst lahmgelegt, der Cyberkriminalität im globalen Maßstab ermöglichte. Operationen wie diese zeigen: Wenn Ermittler die Fäden international zusammenführen, kann die Infrastruktur hinter Cyberkriminalität aufgedeckt und abgeschaltet werden.

Was wurde bei Operation Lightning tatsächlich beschlagnahmt?

Die am 11. März durchgeführte Operation Lightning wurde über Europols Joint Cyberaction Task Force koordiniert, die die Ermittlungen bereits im Juni 2025 aufgenommen hatte. Die Ausbeute: 34 Domains, 23 Server in sieben Ländern vom Netz genommen sowie eine Zahlungsplattform, über die laut Europol im Laufe der Zeit mehr als $5,7 Millionen (€5 Millionen) in Krypto geflossen waren.

US-Staatsanwälte — konkret der Eastern District of California — stellten fest, dass die SocksEscort-Anwendung noch im Februar 2026 rund 8.000 infizierte Router als verfügbar auflistete, davon etwa 2.500 in den Vereinigten Staaten. Der Dienst war noch aktiv, als die Ermittler den Stecker zogen.

Wer wurde geschädigt — und warum ist das für Krypto-Anleger relevant?

Kriminelle, die auf das SocksEscort-Netzwerk setzten, nutzten die Proxy-Tarnung, um die Herkunft ihrer Angriffe zu verschleiern — darunter Übernahmen von Bank- und Krypto-Konten, betrügerische Arbeitslosengeldanträge und Ransomware-Einsätze. Bundesstaatsanwälte dokumentierten konkrete Opferverluste: Ein Kunde einer New Yorker Kryptobörse wurde um $1 Million in digitalen Vermögenswerten beraubt, ein Hersteller aus Pennsylvania verlor $700.000, und aktive sowie ehemalige Militärangehörige wurden insgesamt um $100.000 betrogen.

Wer Kryptowährungen auf einer zentralisierten Börse hält, kennt genau dieses Bedrohungsszenario: Account-Übernahmen sind der Angriffsvektor, der Sicherheitsteams nachts nicht schlafen lässt. Proxys wie SocksEscort erlauben es Angreifern, ihren Standort zu fälschen — sie sind ein zentrales Werkzeug, um gestohlene Zugangsdaten so aussehen zu lassen, als kämen sie von der Heim-IP des Kontoinhabers. Die Klageschrift des DOJ Eastern District of California legt genau dar, wie das in der Praxis funktionierte.

Die kriminelle Nutzung ging weit über finanziellen Diebstahl hinaus. Europols Ermittlungen bestätigten, dass das Netzwerk auch DDoS-Angriffe und die Verbreitung von Material zur sexuellen Ausbeutung von Kindern ermöglichte — was die länderübergreifende Dringlichkeit hinter der Operation erklärt.