Google anunció el miércoles que, en colaboración con otros socios, ha desmantelado IPIDEA, descrita como una de las mayores redes de proxy residencial del mundo. La empresa tomó acciones legales para eliminar decenas de dominios utilizados para controlar dispositivos y redirigir tráfico. Al cierre de esta edición, el sitio web de IPIDEA (www.ipidea.io) ya no está accesible. La red se promocionaba como "el principal proveedor mundial de proxy IP" con más de 6,1 millones de direcciones IP actualizadas diariamente y 69.000 nuevas cada día.
"Las redes de proxy residencial se han convertido en una herramienta omnipresente para todo, desde el espionaje de alto nivel hasta esquemas criminales masivos", afirmó John Hultquist, analista jefe del Grupo de Inteligencia de Amenazas de Google (GTIG), en un comunicado compartido con The Hacker News. "Al enrutar el tráfico a través de la conexión a Internet del hogar de una persona, los atacantes pueden ocultarse a plena vista mientras se infiltran en entornos corporativos. Al desmantelar la infraestructura utilizada para operar la red IPIDEA, hemos cortado el suministro a un mercado global que vendía acceso a millones de dispositivos de consumo secuestrados".
Google señaló que, hasta este mismo mes, la infraestructura de proxy de IPIDEA ha sido utilizada por más de 550 grupos de amenazas individuales con motivaciones variadas, como ciberdelincuencia, espionaje, amenazas persistentes avanzadas (APT) y operaciones de información, provenientes de todo el mundo, incluidos China, Corea del Norte, Irán y Rusia. Estas actividades abarcaban desde acceso a entornos SaaS de víctimas, infraestructura local y ataques de rociado de contraseñas.
"Los proxies residenciales han sido utilizados por una gran variedad de amenazas, pero aparecen con frecuencia en incidentes que involucran espionaje cibernético ruso y chino", dijo Hultquist a The Hacker News. "Han sido utilizados por APT28 y Sandworm, así como por Volt Typhoon".
En un análisis publicado a principios de este mes, Synthient reveló que los actores de amenaza detrás del botnet AISURU/Kimwolf estaban abusando de fallos de seguridad en servicios de proxy residencial como IPIDEA para retransmitir comandos maliciosos a dispositivos vulnerables del Internet de las Cosas (IoT) detrás de un cortafuegos en redes locales para propagar el malware. El malware que convierte los dispositivos de consumo en puntos finales de proxy se oculta sigilosamente en aplicaciones y juegos preinstalados en cajas de TV Android de marcas no oficiales. Esto obliga al dispositivo infectado a retransmitir tráfico malicioso y participar en ataques de denegación de servicio distribuido (DDoS).
También se dice que IPIDEA lanzó aplicaciones independientes, comercializadas directamente a personas que buscaban "dinero fácil", anunciando descaradamente que pagarían a los consumidores por instalar la aplicación y permitir que usara su "ancho de banda no utilizado". Aunque las redes de proxy residencial ofrecen la capacidad de enrutar tráfico a través de direcciones IP propiedad de proveedores de servicios de Internet (ISP), esto también puede proporcionar la cobertura perfecta para actores maliciosos que buscan ocultar el origen de su actividad maliciosa.
"Para ello, los operadores de redes de proxy residencial necesitan código ejecutándose en dispositivos de consumo para inscribirlos en la red como nodos de salida", explicó GTIG. "Estos dispositivos se cargan previamente con software proxy o se unen a la red proxy cuando los usuarios descargan sin saberlo aplicaciones troyanizadas con código proxy incrustado. Algunos usuarios pueden instalar este software a sabiendas en sus dispositivos, atraídos por la promesa de 'monetizar' su ancho de banda libre".
El equipo de inteligencia de amenazas del gigante tecnológico dijo que IPIDEA se ha vuelto notoria por su papel en la facilitación de varios botnets, incluido BADBOX 2.0, con sede en China. En julio de 2025, Google presentó una demanda contra 25 personas o entidades no identificadas en China por presuntamente operar el botnet y su infraestructura de proxy residencial asociada.
También señaló que las aplicaciones proxy de IPIDEA no solo enrutaban tráfico a través del dispositivo nodo de salida, sino que también enviaban tráfico al dispositivo con el objetivo de comprometerlo, lo que plantea graves riesgos para los consumidores cuyos dispositivos pueden haberse unido a la red proxy a sabiendas o sin saberlo.
La red proxy que impulsa IPIDEA no es una entidad monolítica. Más bien, es una colección de múltiples marcas de proxy residencial conocidas bajo su control:
- Ipidea (ipidea[.]io)
- 360 Proxy (360proxy[.]com)
- 922 Proxy (922proxy[.]com)
- ABC Proxy (abcproxy[.]com)
- Cherry Proxy (cherryproxy[.]com)
- Door VPN (doorvpn[.]com)
- Galleon VPN (galleonvpn[.]com)
- IP 2 World (ip2world[.]com)
- Luna Proxy (lunaproxy[.]com)
- PIA S5 Proxy (piaproxy[.]com)
- PY Proxy (pyproxy[.]com)
- Radish VPN (radishvpn[.]com)
- Tab Proxy (tabproxy[.]com)
"Los mismos actores que controlan estas marcas también controlan varios dominios relacionados con kits de desarrollo de software (SDK) para proxies residenciales", dijo Google. "Estos SDK no están destinados a instalarse o ejecutarse como aplicaciones independientes, sino que se integran en aplicaciones existentes".
Estos SDK se comercializan a desarrolladores externos como una forma de monetizar sus aplicaciones Android, Windows, iOS y WebOS. Los desarrolladores que integran los SDK en sus aplicaciones reciben pagos de IPIDEA por descarga. Esto transforma un dispositivo que instala estas aplicaciones en un nodo de la red proxy, al tiempo que proporciona la funcionalidad anunciada. Los nombres de los SDK controlados por los actores de IPIDEA se enumeran a continuación:
- Castar SDK (castarsdk[.]com)
- Earn SDK (earnsdk[.]io)
- Hex SDK (hexsdk[.]com)
- Packet SDK (packetsdk[.]com)
Los SDK tienen superposiciones significativas en su infraestructura de comando y control (C2) y estructura de código. Siguen un sistema C2 de dos niveles donde los dispositivos infectados contactan con un servidor de Nivel Uno para recuperar un conjunto de nodos de Nivel Dos a los que conectarse. La aplicación luego inicia comunicación con el servidor de Nivel Dos para sondear periódicamente cargas útiles para proxy a través del dispositivo. El análisis de Google encontró que hay aproximadamente 7.400 servidores de Nivel Dos.
Además de los servicios proxy, se ha descubierto que los actores de IPIDEA controlan dominios que ofrecen herramientas de red privada virtual (VPN) gratuitas, que también están diseñadas para unirse a la red proxy como un nodo de salida que incorpora el SDK Hex o Packet. Los nombres de los servicios VPN son los siguientes:
- Galleon VPN (galleonvpn[.]com)
- Radish VPN (radishvpn[.]com)
- Aman VPN (inactivo)
Además, GTIG dijo que identificó 3.075 binarios únicos de Windows que habían enviado una solicitud a al menos un dominio de Nivel Uno, algunos de los cuales se hacían pasar por OneDriveSync y Windows Update. Estas aplicaciones troyanizadas de Windows no fueron distribuidas directamente por los actores de IPIDEA. Hasta 600 aplicaciones de Android (que abarcan utilidades, juegos y contenido) de múltiples fuentes de descarga han sido marcadas por contener código que se conecta a dominios C2 de Nivel Uno mediante el uso de los SDK de monetización para habilitar el comportamiento proxy.
En un comunicado compartido con The Wall Street Journal, un portavoz de la empresa china dijo que había adoptado "estrategias de expansión de mercado relativamente agresivas" y "realizado actividades promocionales en lugares inapropiados (por ejemplo, foros de hackers)", y que se ha "opuesto explícitamente a cualquier forma de conducta ilegal o abusiva".
Para contrarrestar la amenaza, Google dijo que ha actualizado Google Play Protect para advertir automáticamente a los usuarios sobre aplicaciones que contienen código IPIDEA. Para dispositivos Android certificados, el sistema eliminará automáticamente estas aplicaciones maliciosas y bloqueará cualquier intento futuro de instalarlas.
"Si un dispositivo no está certificado por Play Protect, Google no tiene un registro de los resultados de pruebas de seguridad y compatibilidad", dijo Hultquist. "Los dispositivos Android certificados por Play Protect se someten a pruebas exhaustivas para garantizar la calidad y la seguridad del usuario. Para ayudar a confirmar si un dispositivo está construido con Android TV OS y certificado por Play Protect, nuestro sitio web de Android TV proporciona la lista más actualizada de socios".
Dicho esto, IPIDEA es solo uno de los muchos servicios proxy de los que los operadores de AISURU/Kimwolf han abusado para escalar y monetizar su huella. Entre los SDK utilizados para convertir sistemas infectados en repetidores de tráfico de Internet se encuentra otro conjunto de herramientas llamado ByteConnect, distribuido por Plainproxies. ByteConnect se comercializa como una forma de "convertir tus aplicaciones en ingresos pasivos" y como una herramienta para "ayudar a los desarrolladores a monetizar sin problemas tanto aplicaciones como dispositivos IoT". Un tercer proveedor involucrado en la venta de proxies de Kimwolf es Maskify.
"Nuestro enfoque en la red IPIDEA ahora se debe a sus conexiones con una serie de actividades maliciosas, incluido el botnet BADBOX 2.0 contra el que actuamos el año pasado", dijo Hultquist. "En el futuro, continuaremos tomando medidas contra organizaciones y tecnologías que estén habilitando comportamientos maliciosos dirigidos a nuestros usuarios".
"Si bien los proveedores de proxy pueden alegar ignorancia o cerrar estas brechas de seguridad cuando se les notifica, la ejecución y verificación son desafiantes dadas las estructuras de propiedad intencionalmente opacas, los acuerdos de reventa y la diversidad de aplicaciones", dijo Google.
Lumen Technologies, que ayudó a GTIG a verificar la infraestructura y escala de IPIDEA, dijo a The Hacker News que las acciones de Google están frenando efectivamente la capacidad de los delincuentes para explotar estos servicios con fines maliciosos al eliminar aplicaciones que distribuyen malware, pero señaló que se necesita una presión sostenida sobre dichos servicios de proxy residencial desarrollados a través de malware para combatir la amenaza.
"Los proveedores de servicios de Internet pueden contribuir bloqueando el tráfico hacia la infraestructura que respalda los servicios de proxy residencial impulsados por malware", dijo Chris Formosa, ingeniero principal de seguridad de la información de Black Lotus Labs en Lumen Technologies. "Se requiere un esfuerzo coordinado y continuo para eliminar estas amenazas".
"Es demasiado pronto para evaluar el impacto completo. Hoy, aproximadamente 5 millones de bots distintos todavía se están conectando a los servidores de comando y control de IPIDEA, lo que indica una operación continua a gran escala. Sin embargo, hemos observado una disminución del 40% en el total de proxies hoy en comparación con semanas anteriores, y esperamos más reducciones a medida que se pierdan proxies adicionales".
(La historia se actualizó después de la publicación para incluir información adicional de GTIG y Black Lotus Labs de Lumen Technologies).
