Thomas Kramer
Thomas Kramer

Operation Lightning: 369.000 Router im Botnet

Thomas Kramer enthalten in IT-Sicherheit
 1100 Wörter (ungefähr) 6 Minuten 

Am 11. März fielen 34 Domains und 23 Server

An einem Mittwoch im März haben FBI, Europol und Strafverfolgungsbehörden aus acht Ländern eine Operation mit dem Namen “Lightning” gestartet. Ziel: das Proxy-Netzwerk SocksEscort, betrieben seit mindestens 2020, basierend auf dem AVrecon-Botnet. Ergebnis: 34 Domains beschlagnahmt, 23 Server in sieben Ländern offline, 3,5 Millionen Dollar in Kryptowährung eingefroren.

Die Zahlen allein reichen nicht, um zu verstehen, was hier passiert ist. Also von vorne.

Was ist ein Botnet?

Ein Botnet ist ein Netzwerk aus kompromittierten Geräten, die ferngesteuert werden. Das können Server sein, Desktop-Rechner, aber in den meisten Fällen sind es Geräte, die niemand im Verdacht hat: Router, IP-Kameras, NAS-Geräte, Smart-Home-Controller. Alles, was eine IP-Adresse hat und ins Internet geht.

Der Ablauf ist immer ähnlich: Eine Schwachstelle im Gerät wird ausgenutzt, Malware installiert, das Gerät “telefoniert nach Hause” und bekommt Befehle. Der Besitzer merkt nichts. Der Router macht weiter, was er soll. Nebenbei leitet er kriminellen Datenverkehr weiter, scannt andere Geräte oder wird für DDoS-Angriffe benutzt.

Das Schlimme: Die Geräte werden nicht lahmgelegt. Ein totes Gerät ist kein gutes Botnet-Mitglied. Die Kunst besteht darin, das Gerät möglichst unauffällig zu übernehmen und im Hintergrund laufen zu lassen.

SocksEscort: Das Botnet als Geschäftsmodell

SocksEscort war kein Hobby-Projekt. Es war ein kommerzieller Service, der auf dem AVrecon-Botnet aufgebaut hat. AVrecon infiziert Linux-basierte Router (über 1.200 Modelle von Cisco, D-Link, Hikvision, Mikrotik, NETGEAR, TP-Link und Zyxel), die dann als Proxy-Knoten dienen. SocksEscort hat diese Knoten an Kunden vermietet.

Die Kunden kamen nicht mit guten Absichten. Laut dem US-Justizministerium wurden über das Netzwerk unter anderem folgende Betrugsfälle begangen:

  • Ein Kunde einer Kryptowährungsbörse in New York wurde um Krypto im Wert von einer Million Dollar betrogen
  • Ein Unternehmen in Pennsylvania verlor 700.000 Dollar
  • US-Militärangehörige wurden über ihre MILITARY STAR-Karten um 100.000 Dollar erleichtert

Das Prinzip: Wer über eine echte Wohnungs-Router-IP kommuniziert, sieht für Webseiten und Dienste wie ein normaler Nutzer aus. Keine auffällige Server-IP, kein Datacenter, kein VPN-Flag. Das macht Residential Proxies so wertvoll für Kriminelle.

Was sind Residential Proxies?

Ein Proxy leitet Datenverkehr zwischen zwei Punkten weiter. Dein Gerät spricht mit dem Proxy, der Proxy spricht mit dem Ziel, und das Ziel sieht die IP-Adresse des Proxys statt deine.

Das ist an sich nicht kriminell. VPN-Dienste funktionieren ähnlich. Der Unterschied bei Residential Proxies: Sie nutzen echte IP-Adressen von echten Internetanschlüssen. Wenn dein Router Teil eines Botnets ist, ist dein Anschluss ein Exit-Knoten. Jemand anderes surft über deine IP, und du merkst es nicht.

Legitime Residential-Proxy-Anbieter wie IPIDEA vermarkten ihre Dienste als “ethisch”, weil angeblich alle Gerätebesitzer zugestimmt haben. Die Realität sieht anders aus. Googles Threat Intelligence Group (GTIG) hat im Januar 2026 festgestellt, dass innerhalb einer einzigen Woche über 550 verschiedene Bedrohungsgruppen IPIDEA-Exit-Knoten verwendet haben. Darunter Gruppen aus China, Nordkorea, dem Iran und Russland. Google hat rechtliche Schritte eingeleitet und zusammen mit Cloudflare die Domain-Auflösung des Netzwerks gestört.

Der Zusammenhang: Operation Endgame

Operation Lightning steht nicht allein. Europol hat mit “Operation Endgame” eine laufende Kampagne gegen die gesamte Cyberkriminalitäts-Infrastruktur gestartet:

Mai 2024 (Phase 1): Abschaltung der Malware-Dropper IcedID, SystemBC, Pikabot, Smokeloader und Bumblebee.

Mai 2025 (Follow-up): Fünf Festnahmen, Server beschlagnahmt, die mit den Datenbanken aus Phase 1 verknüpft wurden.

November 2025 (Phase 2): 1.025 Server offline genommen. Rhadamanthys (Infostealer), VenomRAT (Remote Access Trojan) und Elysium (Botnet) zerschlagen.

März 2026 (Lightning): SocksEscort/AVrecon-Botnet, 369.000 Geräte, 34 Domains, 23 Server.

Die Strategie ist klar: Nicht nur einzelne Botnets bekämpfen, sondern die komplette Infrastruktur angreifen. Server, Domains, Kryptowährungs-Wallets, Zwischenhändler.

Operation Synergia III: INTERPOL in 72 Ländern

Parallel zu Lightning und Endgame hat INTERPOL mit Synergia III eine dritte Großoperation durchgeführt. Vom 18. Juli 2025 bis 31. Januar 2026 ermittelten Behörden aus 72 Ländern koordiniert gegen Cyberkriminalität.

Die Ergebnisse:

  • Über 45.000 bösartige IP-Adressen und Server vom Netz genommen
  • 94 Festnahmen, gegen 110 weitere laufen Ermittlungen
  • 212 elektronische Geräte und Server beschlagnahmt
  • In Macau: 33.000 Phishing- und Betrugsseiten identifiziert (gefälschte Casino- und Bankenseiten)
  • In Togo: 10 Verdächtige wegen Hacking, Romance Scams und Sextortion
  • In Bangladesch: 40 Festnahmen wegen Job-Scams, Identitätsdiebstahl und Kreditkartenbetrug

Unterstützt wurde INTERPOL von den Sicherheitsfirmen Group-IB, Trend Micro und S2W.

Auffällig: Deutschland war bei Synergia III nicht dabei. Bei Operation Lightning schon, bei der Interpol-Aktion nicht. Warum, ist unklar.

Lightning (Proxy-Botnet), Endgame (Malware-Infrastruktur), Synergia III (Phishing, Malware, Ransomware): drei parallele Großoperationen, die 2026 die gesamte Cyberkriminalitäts-Kette angreifen. Nicht nur Symptome, sondern Infrastruktur, Betreiber und Nutzer.

Was das für dich bedeutet

Die Wahrscheinlichkeit, dass dein Router Teil eines Botnets ist, ist niedrig. Aber nicht null.

Dein Router kann für Betrug genutzt werden, bei dem dein Anschluss als Exit-Knoten dient. Wenn Strafverfolgungsbehörden den Datenverkehr rückverfolgen, landen sie bei deiner IP.

Dein Router kann Teil eines DDoS-Angriffs sein, ohne dass du es merkst. Die Leistung leidet vielleicht etwas, aber die meisten Anschlussinhaber denken nicht an Botnet-Mitgliedschaft.

Deine Geräte im lokalen Netz können über den kompromittierten Router angegriffen werden. NAS, IP-Kameras, Smart-Home-Systeme: alles was mit dem Router verbunden ist, potenziell exponiert.

Was du tun kannst

Router-Firmware aktualisieren. Der wichtigste Punkt. Router sind der primäre Angriffsvektor. Wer sein Gerät nicht patcht, hält die Tür offen. Einmal im Monat nach Firmware-Updates schauen.

Standardpasswort ändern. Klingt banal, ist es aber nicht. Jeder Router, der noch das Werkskennwort nutzt, ist ein Geschenk an Botnet-Betreiber.

Nicht benötigte Services deaktivieren. UPnP, Fernzugriff, WPS. Alles was nicht explizit gebraucht wird, aus. Jeder offene Dienst ist eine potenzielle Angriffsfläche.

Router-Logs prüfen. Auffällige Verbindungen, unbekannte Geräte im Netz, ungewöhnlicher Datenverkehr. Einmal im Monat einen kurzen Blick werfen.

Einen Router mit aktuellem Support kaufen. Hardware, die vom Hersteller nicht mehr gepflegt wird, ist ein Sicherheitsrisiko. Ein Router, der keine Updates mehr bekommt, gehört ersetzt.

DNS-Ebene absichern. Pi-hole, AdGuard Home oder ein vergleichbarer DNS-Filter erkennt C2-Kommunikation (Command and Control), also den Datenverkehr zwischen kompromittiertem Gerät und Botnet-Steuerung.

Was noch fehlt

Die Takedown-Operationen sind wichtig und richtig. Aber sie lösen das Grundproblem nicht. Solange Hersteller Geräte auf den Markt werfen und nach zwei Jahren den Support einstellen, solange der Durchschnittsnutzer seinen Router nach der Einrichtung nie wieder anfasst, wird es Botnets geben.

Europol und FBI haben mit Operation Lightning eine Symptom-Behandlung durchgeführt. Die Krankheit liegt tiefer: fehlende Update-Mechanismen bei Consumer-Hardware, mangelndes Bewusstsein der Nutzer und ein Geschäftsmodell, das auf kompromittierten Geräten aufbaut.

Bis sich daran etwas ändert, bleibt ein Ratschlag am relevantesten: Patchen. Patchen. Patchen.

Quellen:

Aktualisiert am 13.03.2026 
CC BY-NC-SA 4.0
CybersecurityBotnetRouterEuropol
Zurück | Startseite

Inhalt