Google a annoncé mercredi avoir travaillé aux côtés d'autres partenaires pour perturber IPIDEA, qu'il a décrit comme l'un des plus grands réseaux proxy résidentiels au monde.
À cette fin, la société a déclaré avoir engagé des poursuites judiciaires pour supprimer des dizaines de domaines utilisés pour contrôler les appareils et proxy le trafic qui les traverse. A l’heure où nous rédigeons ces lignes, le site Internet d’IPIDEA (« www.ipidea.io ») n’est plus accessible. Il se présente comme le « premier fournisseur de proxy IP au monde » avec plus de 6,1 millions d'adresses IP mises à jour quotidiennement et 69 000 nouvelles adresses IP quotidiennement.
“Les réseaux proxy résidentiels sont devenus un outil répandu pour tout, depuis l'espionnage de haut niveau jusqu'aux stratagèmes criminels de grande envergure”, a déclaré John Hultquist, analyste en chef du Google Threat Intelligence Group (GTIG), dans une déclaration partagée avec The Hacker News.
« En acheminant le trafic via la connexion Internet domestique d'une personne, les attaquants peuvent se cacher à la vue de tous tout en infiltrant les environnements de l'entreprise. En supprimant l'infrastructure utilisée pour gérer le réseau IPIDEA, nous avons effectivement coupé l'herbe sous le pied d'un marché mondial qui vendait l'accès à des millions d'appareils grand public piratés.
Google a déclaré que pas plus tard que ce mois-ci, l'infrastructure proxy d'IPIDEA avait été exploitée par plus de 550 groupes de menaces individuels pour diverses motivations, telles que la cybercriminalité, l'espionnage, les menaces persistantes avancées (APT) et les opérations d'information, provenant du monde entier, notamment de Chine, de Corée du Nord, d'Iran et de Russie. Ces activités allaient de l'accès aux environnements SaaS des victimes, à l'infrastructure sur site et aux attaques par pulvérisation de mots de passe.
Dans une analyse publiée plus tôt ce mois-ci, Synthient a révélé que les acteurs malveillants derrière le botnet AISURU/Kimwolf exploitaient les failles de sécurité des services proxy résidentiels comme IPIDEA pour transmettre des commandes malveillantes à des appareils Internet des objets (IoT) sensibles derrière un pare-feu au sein des réseaux locaux afin de propager des logiciels malveillants.
Les logiciels malveillants qui transforment les appareils grand public en points de terminaison proxy sont discrètement inclus dans les applications et les jeux préinstallés sur les boîtiers de streaming Android TV tiers. Cela oblige l'appareil infecté à transmettre du trafic malveillant et à se lancer dans des attaques par déni de service distribué (DDoS).
IPIDEA aurait également lancé des applications autonomes, commercialisées directement auprès des personnes cherchant à gagner « de l'argent facile » en annonçant sans vergogne qu'elles paieront les consommateurs pour installer l'application et leur permettre d'utiliser leur « bande passante inutilisée ».
Si les réseaux proxy résidentiels offrent la possibilité d'acheminer le trafic via des adresses IP appartenant aux fournisseurs d'accès Internet (FAI), ils peuvent également constituer une couverture idéale pour les criminels cherchant à masquer la source de leur activité malveillante.
“Pour ce faire, les opérateurs de réseaux proxy résidentiels ont besoin que du code s'exécute sur les appareils grand public pour les inscrire dans le réseau en tant que nœuds de sortie”, a expliqué GTIG. “Ces appareils sont préchargés avec un logiciel proxy ou rejoignent le réseau proxy lorsque les utilisateurs téléchargent sans le savoir des applications trojanisées avec un code proxy intégré. Certains utilisateurs peuvent sciemment installer ce logiciel sur leurs appareils, attirés par la promesse de “monétiser” leur bande passante supplémentaire. “
L'équipe de renseignement sur les menaces du géant de la technologie a déclaré qu'IPIDEA est devenu connu pour son rôle dans la facilitation d'un certain nombre de réseaux de zombies, notamment BADBOX 2.0, basé en Chine. En juillet 2025, Google a intenté une action en justice contre 25 personnes ou entités anonymes en Chine pour avoir prétendument exploité le botnet et son infrastructure proxy résidentielle associée.
Il a également noté que les applications proxy d'IPIDEA acheminaient non seulement le trafic via le périphérique du nœud de sortie, mais envoyaient également du trafic vers le périphérique dans le but de le compromettre, ce qui présentait de sérieux risques aux consommateurs dont les périphériques pouvaient, sciemment ou inconsciemment, rejoindre le réseau proxy.
Le réseau proxy qui alimente l’IPIDEA n’est pas une entité monolithique. Il s’agit plutôt d’un ensemble de plusieurs marques proxy résidentielles bien connues sous son contrôle.
- chemin (chemin[.]JE)
- Proxy 360 (proxy 360[.]com)
- 922 procuration[.]com)
- Proxy ABC (abcproxy[.]com)
- Proxy cerise[.]com)
- Porte VPN (vpngate[.]com)
- Galleon VPN (galleonvpn[.]com)
- IP 2 Monde (ip2world[.]com)
- Proxy Luna (proxy lunaire[.]com)
- Proxy PIA S5 (piaproxy[.]com)
- Proxy PY (pyproxy[.]com)
- Radis VPN (radishovpn[.]com)
- Proxy d'onglet (proxy d'onglet[.]com)
“Les mêmes acteurs qui contrôlent ces marques contrôlent également plusieurs domaines liés aux kits de développement logiciel (SDK) pour les serveurs proxy résidentiels”, a déclaré Google. “Ces SDK ne sont pas destinés à être installés ou exécutés en tant qu'applications autonomes, mais doivent plutôt être intégrés aux applications existantes.”
Ces SDK sont commercialisés auprès de développeurs tiers afin de monétiser leurs applications Android, Windows, iOS et WebOS. IPIDEA rémunère les développeurs qui intègrent des SDK dans leurs applications par téléchargement. Cela transforme à son tour un appareil qui installe ces applications en un nœud pour le réseau proxy, tout en fournissant également les fonctionnalités annoncées. Les noms des SDK contrôlés par les acteurs IPIDEA sont listés ci-dessous :
- SDK Castar (castarsdk[.]com)
- Gagner du SDK (earnsdk[.]JE)
- SDK hexadécimal (hexsdk[.]com)
- SDK de package (packagesdk[.]com)
Les SDK présentent des chevauchements importants dans leur infrastructure de commande et de contrôle (C2) et leur structure de code. Ils suivent un système C2 à deux niveaux dans lequel les appareils infectés contactent un serveur de niveau un pour récupérer un ensemble de nœuds de niveau deux auxquels se connecter. L'application initie ensuite la communication avec le serveur de niveau deux pour interroger périodiquement les charges utiles afin de les restituer sur l'appareil. L'analyse de Google a révélé qu'il existe environ 7 400 serveurs de niveau deux.
En plus des services proxy, il a été constaté que les acteurs IPIDEA contrôlent des domaines qui offrent des outils de réseau privé virtuel (VPN) gratuits, qui sont également conçus pour rejoindre le réseau proxy en tant que nœud de sortie incorporant le SDK Hex ou Packet. Les noms des services VPN sont les suivants :
- Galleon VPN (galleonvpn[.]com)
- Radis VPN (radishovpn[.]com
- Aman VPN (défunt)
De plus, GTIG a déclaré avoir identifié 3 075 binaires Windows uniques qui ont envoyé une requête à au moins un domaine de niveau 1, dont certains ont usurpé l'identité de OneDriveSync et Windows Update. Ces applications Windows trojanisées n'étaient pas distribuées directement par les acteurs de l'IPIDEA. Jusqu'à 600 applications Android (couvrant des utilitaires, des jeux et du contenu) provenant de plusieurs sources de téléchargement ont été signalées comme contenant du code qui se connecte aux domaines C2 de niveau 1 en utilisant des SDK de monétisation pour activer le comportement de proxy.
Dans une déclaration partagée avec le Wall Street Journal, un porte-parole de la société chinoise a déclaré qu'elle s'était engagée dans des “stratégies d'expansion du marché relativement agressives” et “avait mené des activités promotionnelles dans des endroits inappropriés (par exemple, des forums de hackers)” et qu'elle s'était “explicitement opposée à toute forme de comportement illégal ou abusif”.
Pour contrer cette menace, Google a annoncé avoir mis à jour Google Play Protect pour avertir automatiquement les utilisateurs des applications contenant du code IPIDEA. Pour les appareils Android certifiés, le système supprimera automatiquement ces applications malveillantes et bloquera toute tentative future de les installer.
“Bien que les fournisseurs de proxy puissent affirmer leur ignorance ou combler ces failles de sécurité lorsqu'ils en sont informés, l'application et la vérification sont difficiles étant donné les structures de propriété intentionnellement douteuses, les accords de revendeur et la diversité des applications”, a déclaré Google.
