Google anunció el miércoles que ha unido fuerzas con otros socios para alterar IPIDEA. IPIDEA es una de las redes de proxy residenciales más grandes del mundo, afirma la empresa.
Con este fin, la compañía dijo que ha emprendido acciones legales para suspender decenas de dominios utilizados para controlar los dispositivos y el tráfico proxy a través de ellos. En el momento de escribir este artículo, ya no se puede acceder al sitio web de IPIDEA (‘www.ipidea.io’). La empresa se anunciaba como «el proveedor líder mundial de servidores proxy IP» con más de 6,1 millones de direcciones IP actualizadas cada día y 69.000 nuevas direcciones IP cada día.
«Las redes de proxy residenciales se han convertido en una herramienta generalizada para todo, desde espionaje de alto nivel hasta esquemas criminales a gran escala», dijo John Hultquist, analista principal de Google Threat Intelligence Group (GTIG), en un comunicado compartido con The Hacker News.
«Al enrutar el tráfico a través de la conexión a Internet residencial de un individuo, los atacantes pueden colarse en un entorno corporativo mientras permanecen ocultos a la vista. Al derribar la infraestructura utilizada para ejecutar la red IPIDEA, pudimos efectivamente quitarle la alfombra a un mercado global que vendía acceso a millones de dispositivos de consumo secuestrados».
Según Google, hasta este mes, la infraestructura proxy de IPIDEA ha sido aprovechada por más de 550 grupos de amenazas distintos en todo el mundo, incluidos China, Corea del Norte, Irán y Rusia, con una variedad de motivaciones, que incluyen delitos cibernéticos, espionaje, amenazas persistentes avanzadas (APT) y operaciones de información. Estas actividades abarcaron desde obtener acceso a los entornos SaaS de las víctimas, infraestructura local y ataques de pulverización de contraseñas.
En un análisis publicado a principios de este mes, Synthient reveló que los atacantes detrás de la botnet AISURU/Kimwolf explotaron fallas de seguridad en servicios de proxy residenciales como IPIDEA para propagar malware al transmitir comandos maliciosos a dispositivos vulnerables de Internet de las cosas (IoT) detrás de firewalls en redes locales.
El malware, que convierte los dispositivos de los consumidores en puntos finales proxy, se incluye en secreto dentro de aplicaciones y juegos preinstalados en cajas de transmisión de TV Android de otras marcas. Esto permite que los dispositivos infectados transmitan tráfico malicioso y participen en ataques distribuidos de denegación de servicio (DDoS).
IPIDEA también supuestamente lanzó una aplicación independiente que comercializaba directamente a personas que buscaban «ganar dinero fácil» anunciando descaradamente que pagarían a los consumidores para que instalaran la aplicación y usaran su «ancho de banda no utilizado».
Las redes de proxy residenciales brindan la capacidad de enrutar el tráfico a través de direcciones IP propiedad de proveedores de servicios de Internet (ISP), pero también brindan un escondite perfecto para atacantes maliciosos que buscan ocultar el origen de su actividad maliciosa.
«Para hacer esto, el operador de la red proxy residencial debe ejecutar un código que registre el dispositivo del consumidor como un nodo de salida en la red», explicó GTIG. «Estos dispositivos vienen precargados con software proxy o se unen a una red proxy cuando un usuario, sin saberlo, descarga una aplicación troyanizada con código proxy incorporado. Algunos usuarios pueden instalar este software conscientemente en sus dispositivos, atraídos por la promesa de ‘monetizar’ el ancho de banda gratuito».
El equipo de inteligencia de amenazas del gigante tecnológico dijo que IPIDEA es conocida por su papel en la facilitación de una serie de botnets, incluido BADBOX 2.0, con sede en China. En julio de 2025, Google presentó una demanda contra 25 personas y entidades anónimas en China por supuestamente operar una botnet y una infraestructura de proxy residencial relacionada.
También notamos que las aplicaciones proxy de IPIDEA no solo enrutan el tráfico a través de dispositivos de nodos de salida, sino que también envían tráfico a dispositivos con la intención de comprometerlos, lo que plantea riesgos significativos para los consumidores cuyos dispositivos pueden participar intencionalmente o sin saberlo en redes proxy.
La red proxy que impulsa IPIDEA no es una entidad monolítica. Más bien, es una colección de varias marcas de proxy residenciales conocidas bajo su gestión.
Ipidea (ipidea(.)io) 360 Proxy (360proxy(.)com) 922 Proxy (922proxy(.)com) ABC Proxy (abcproxy(.)com) Cherry Proxy (cherryproxy(.)com) Door VPN (doorvpn(.)com) Galleon VPN (galleonvpn(.)com) IP 2 World (ip2world(.)com) Luna Proxy (lunaproxy(.)com) PIA S5 Proxy (piaproxy(.)com) PY Proxy (pyproxy(.)com) Radish VPN (radishvpn(.)com) Tab Proxy (tabproxy(.)com)
«Las mismas entidades que controlan estas marcas también controlan varios dominios relacionados con kits de desarrollo de software (SDK) para servidores proxy residenciales», dijo Google. «Estos SDK no están destinados a instalarse ni ejecutarse como aplicaciones independientes, sino a integrarse en aplicaciones existentes».
Estos SDK se venden a desarrolladores externos como una forma de monetizar sus aplicaciones de Android, Windows, iOS y WebOS. IPIDEA pagará a los desarrolladores que integren el SDK en sus aplicaciones por cada descarga. Esto convierte los dispositivos que instalan estas aplicaciones en nodos de una red proxy, proporcionándoles al mismo tiempo la funcionalidad anunciada. Los nombres de los SDK controlados por el actor IPIDEA se enumeran a continuación.
Castar SDK (castarsdk(.)com) Earn SDK (earnsdk(.)io) Hex SDK (hexsdk(.)com) Packet SDK (packetsdk(.)com)
El SDK tiene una superposición significativa en la infraestructura de comando y control (C2) y la estructura del código. Siguen un sistema C2 de dos niveles, donde un dispositivo infectado se conecta a un servidor de primer nivel para obtener un conjunto de nodos de segundo nivel al que conectarse. Luego, la aplicación comienza a comunicarse con el servidor de Nivel 2 y periódicamente sondea la carga útil al proxy a través del dispositivo. Según el análisis de Google, existen aproximadamente 7.400 servidores de nivel 2.
Además de los servicios de proxy, se ha descubierto que los atacantes de IPIDEA controlan dominios que ofrecen herramientas gratuitas de redes privadas virtuales (VPN). Esta herramienta está diseñada para participar en redes proxy como un nodo de salida que incorpora SDK Hex o Packet. Los nombres de los servicios VPN son:
Galleon VPN (galleonvpn(.)com) Radish VPN (radishvpn(.)com Aman VPN (obsoleto)
Además, GTIG identificó 3075 archivos binarios de Windows únicos que realizaron solicitudes a al menos un dominio de Nivel 1, algunos de los cuales se hacían pasar por OneDriveSync o Windows Update. Estas aplicaciones troyanizadas de Windows no son distribuidas directamente por los atacantes de IPIDEA. Se marcaron hasta 600 aplicaciones de Android (entre utilidades, juegos y contenido) de múltiples fuentes de descarga por contener código que se conecta a dominios de nivel uno C2 mediante SDK de monetización que permiten el comportamiento de proxy.
En una declaración compartida con The Wall Street Journal, un portavoz de la compañía china dijo que la compañía está involucrada en una «estrategia de expansión de mercado relativamente agresiva», ha «realizado actividades promocionales en lugares inapropiados (como foros de hackers)» y se «opone inequívocamente a cualquier forma de comportamiento ilegal o abusivo».
Para combatir esta amenaza, Google dijo que actualizó Google Play Protect para advertir automáticamente a los usuarios sobre aplicaciones que contienen código IPIDEA. Para dispositivos Android certificados, el sistema elimina automáticamente estas aplicaciones maliciosas y bloquea futuros intentos de instalarlas.
«Los proveedores de proxy pueden aducir notificación y alegar ignorancia o cerrar estas brechas de seguridad, pero la aplicación y la verificación son difíciles dadas sus estructuras de propiedad intencionalmente vagas, acuerdos de reventa y diversidad de aplicaciones», dijo Google.
Source link
