Selama 16 tahun, sebuah jaringan botnet bersembunyi di perangkat yang kemungkinan besar ada di ruang tamu Anda: router internet. Jaringan bernama SocksEscort ini akhirnya runtuh pada 11 Maret 2026 lewat Operasi Lightning, sebuah inisiatif gabungan antara Departemen Kehakiman Amerika Serikat (DoJ) dan Europol.
Usianya yang mencapai 16 tahun menjadikan SocksEscort sebagai salah satu infrastruktur proxy kriminal paling awet dalam sejarah keamanan siber modern. Jaringan ini tercatat telah membajak lebih dari 369 ribu alamat IP di 163 negara sejak pertama kali aktif pada tahun 2009.
Dampak Operasi Lightning
Mengubah Router Jadi Zombi dengan AVRecon
SocksEscort mengandalkan malware khusus bernama AVRecon untuk membangun pasukannya. Target utama kode jahat ini adalah router kelas rumahan (Small Office/Home Office atau SOHO) dan berbagai perangkat Internet of Things (IoT) berbasis Linux. Sekitar 1.200 model perangkat dari produsen populer seperti Cisco, D-Link, Hikvision, MikroTik, Netgear, TP-Link, dan Zyxel masuk dalam radar eksploitasi mereka.
Malware ini menyusup melalui kerentanan Remote Code Execution (RCE) dan injeksi perintah. Sederhananya, peretas bisa mengirim instruksi khusus dari jarak jauh untuk mengeksekusi kode pada perangkat tanpa memerlukan interaksi pengguna sama sekali.
Profil Ancaman AVRecon
Vektor Serangan | RCE & Command Injection |
Target Perangkat | ~1.200 Model SOHO/IoT |
Pengendali Jaringan | 15 Node Command-and-Control |
Korban Aktif | ~20.000 perangkat per minggu |
Hal yang membuat AVRecon mampu bertahan belasan tahun adalah teknik persistensinya. Setelah berhasil masuk, malware ini memodifikasi sistem perangkat untuk memblokir pembaruan keamanan resmi dari pabrik. Router yang terinfeksi akan terus berada di bawah kendali peretas sampai pemiliknya melakukan flashing ulang firmware secara manual—tindakan yang jarang dilakukan oleh pengguna awam.
Saat Operasi Lightning mengeksekusi penutupan paksa, masih ada 8.000 router yang aktif mengirimkan data untuk botnet ini.
Bisnis “Proxy Bersih” untuk Sindikat Kejahatan
SocksEscort bukanlah botnet yang dirancang untuk langsung mencuri data pemilik router. Alih-alih meretas pengguna secara langsung, jaringan ini berfungsi sebagai penyedia infrastruktur Business-to-Business (B2B) untuk ekosistem kriminal bawah tanah. Mereka menyewakan akses ke router-router yang terinfeksi tersebut sebagai residential proxy.
Dalam lanskap keamanan siber, lalu lintas data yang masuk melalui alamat IP perumahan (residential IP) biasanya memiliki tingkat kepercayaan tinggi. Filter anti-fraud di platform perbankan atau sistem blokir spam sering kali meloloskan koneksi ini karena terlihat seperti aktivitas internet dari pengguna biasa di rumah.
Skema Harga SocksEscort
Operator botnet menjual akses proxy eksklusif dengan pembayaran mata uang kripto. Harga berkisar dari $15 per bulan untuk paket 30 proxy, hingga $200 per bulan untuk akses masif ke 5.000 proxy.
Koneksi “bersih” inilah yang dimanfaatkan oleh berbagai sindikat siber. Investigasi gabungan dari FBI, IRS-CI, dan Defense Criminal Investigative Service mengungkap bahwa jaringan SocksEscort digunakan untuk meluncurkan serangan ransomware, penipuan bank, pencurian kripto bernilai jutaan dolar, hingga mendistribusikan materi eksploitasi anak.
Intelijen teknis dari Lumen Black Lotus Labs dan Shadowserver Foundation mengonfirmasi bahwa layanan ini dipasarkan secara eksklusif untuk pelaku kejahatan siber.
Ancaman Mengintai Router Rumahan di Indonesia
Kasus tumbangnya SocksEscort menyoroti satu celah keamanan sistemik yang sering diabaikan: rendahnya higienitas perangkat keras di tingkat konsumen.
Di Indonesia, masalah ini sangat relevan. Jutaan router SOHO—baik yang dibeli secara mandiri maupun yang disediakan oleh Internet Service Provider (ISP)—beroperasi 24 jam sehari selama bertahun-tahun tanpa pernah menerima pembaruan firmware. Banyak pengguna yang bahkan tidak pernah mengganti kata sandi administrator bawaan pabrik.
Data dari Badan Siber dan Sandi Negara (BSSN) menunjukkan seberapa rentannya infrastruktur digital di tingkat akar rumput. Sepanjang semester pertama 2025 saja, BSSN mencatat 3,64 miliar anomali siber di Indonesia.
Komposisi Anomali Siber Indonesia (BSSN H1 2025)
Angka 83 persen aktivitas berbasis malware tersebut sebagian besar didorong oleh perangkat jaringan rentan yang dibajak menjadi bagian dari botnet global. Perangkat keras jaringan sering luput dari perhatian karena posisinya yang berada di luar jangkauan perangkat lunak antivirus tradisional. Antivirus di PC Anda tidak bisa mendeteksi jika router yang mendistribusikan sinyal Wi-Fi di rumah diam-diam sedang menyalurkan serangan ransomware ke server di negara lain.
Operasi Lightning—yang berhasil menyita 34 domain dan 23 server pengendali di tujuh negara—merupakan pukulan telak bagi ekosistem proksi kriminal. Sebelumnya, otoritas penegak hukum global juga sukses meruntuhkan jaringan serupa seperti QakBot, 911 S5, dan IPStorm.
Namun, pemberantasan botnet tidak bisa hanya mengandalkan operasi kepolisian lintas negara. Selama produsen perangkat keras jaringan dan penyedia layanan internet tidak menjadikan pembaruan keamanan otomatis (auto-update) sebagai standar wajib, ruang tamu Anda akan selalu memiliki celah yang siap dieksploitasi oleh sindikat siber berikutnya. Keamanan internet tidak lagi cukup hanya berlindung di balik antivirus PC; lapis pertahanan pertama Anda justru berada di kotak kecil berkedip yang menyuplai koneksi ke seluruh rumah.