Google anunció el miércoles que trabajó junto con otros socios para alterar IPIDEA, que describió como una de las redes de proxy residenciales más grandes del mundo.
Con ese fin, la compañía dijo que tomó acciones legales para eliminar docenas de dominios utilizados para controlar dispositivos y el tráfico proxy a través de ellos. Al momento de escribir este artículo, ya no se puede acceder al sitio web de IPIDEA («www.ipidea.io»). Se anunciaba como el «proveedor líder mundial de proxy IP» con más de 6,1 millones de direcciones IP actualizadas diariamente y 69.000 nuevas direcciones IP diarias.
«Las redes de proxy residenciales se han convertido en una herramienta generalizada para todo, desde espionaje de alto nivel hasta esquemas criminales masivos», dijo John Hultquist, analista jefe de Google Threat Intelligence Group (GTIG), en un comunicado compartido con The Hacker News.
«Al enrutar el tráfico a través de la conexión a Internet residencial de una persona, los atacantes pueden esconderse a la vista mientras se infiltran en entornos corporativos. Al derribar la infraestructura utilizada para ejecutar la red IPIDEA, efectivamente hemos quitado la alfombra a un mercado global que vendía acceso a millones de dispositivos de consumo secuestrados».
Google dijo que, tan recientemente como este mes, la infraestructura proxy de IPIDEA ha sido aprovechada por más de 550 grupos de amenazas individuales con diversas motivaciones, como delitos cibernéticos, espionaje, amenazas persistentes avanzadas (APT) y operaciones de información, de todo el mundo, incluidos China, Corea del Norte, Irán y Rusia. Estas actividades abarcaron desde el acceso a los entornos SaaS de las víctimas, la infraestructura local y los ataques de pulverización de contraseñas.
En un análisis publicado a principios de este mes, Synthient reveló que los actores de amenazas detrás de la botnet AISURU/Kimwolf estaban abusando de fallas de seguridad en servicios de proxy residenciales como IPIDEA para transmitir comandos maliciosos a dispositivos susceptibles de Internet de las cosas (IoT) detrás de un firewall dentro de las redes locales para propagar el malware.
El malware que convierte los dispositivos de los consumidores en puntos finales proxy se incluye sigilosamente en aplicaciones y juegos preinstalados en cajas de transmisión de TV Android de otras marcas. Esto obliga al dispositivo infectado a transmitir tráfico malicioso y participar en ataques distribuidos de denegación de servicio (DDoS).
También se dice que IPIDEA ha lanzado aplicaciones independientes, comercializadas directamente para personas que buscan ganar «dinero fácil» anunciando descaradamente que pagarán a los consumidores para que instalen la aplicación y les permitan usar su «ancho de banda no utilizado».
Si bien las redes de proxy residenciales ofrecen la capacidad de enrutar el tráfico a través de direcciones IP propiedad de proveedores de servicios de Internet (ISP), esto también puede proporcionar la cobertura perfecta para los delincuentes que buscan enmascarar el origen de su actividad maliciosa.
«Para hacer esto, los operadores de redes proxy residenciales necesitan código que se ejecute en los dispositivos de los consumidores para inscribirlos en la red como nodos de salida», explicó GTIG. «Estos dispositivos están precargados con software proxy o se unen a la red proxy cuando los usuarios, sin saberlo, descargan aplicaciones troyanizadas con código proxy incorporado. Algunos usuarios pueden instalar este software conscientemente en sus dispositivos, atraídos por la promesa de ‘monetizar’ su ancho de banda adicional».
El equipo de inteligencia de amenazas del gigante tecnológico dijo que IPIDEA se ha hecho famosa por su papel en la facilitación de una serie de botnets, incluido BADBOX 2.0, con sede en China. En julio de 2025, Google presentó una demanda contra 25 personas o entidades no identificadas en China por supuestamente operar la botnet y su infraestructura de proxy residencial asociada.
También señaló que las aplicaciones proxy de IPIDEA no solo enrutaron el tráfico a través del dispositivo del nodo de salida, sino que también enviaron tráfico al dispositivo con el objetivo de comprometerlo, lo que plantea graves riesgos para los consumidores cuyos dispositivos pueden haberse unido, consciente o inconscientemente, a la red proxy.
La red proxy que impulsa IPIDEA no es una entidad monolítica. Más bien, es una colección de múltiples marcas de proxy residenciales conocidas bajo su control.
- Hipidea (hipidea(.)io)
- Proxy 360 (360proxy(.)com)
- Proxy 922 (proxy 922(.)com)
- Proxy ABC (abcproxy(.)com)
- Proxy de cereza (cherryproxy(.)com)
- Puerta VPN (doorvpn(.)com)
- VPN de galeón (galleonvpn(.)com)
- IP 2 Mundial (ip2world(.)com)
- Proxy Luna (lunaproxy(.)com)
- Proxy PIA S5 (piaproxy(.)com)
- Proxy PY (pyproxy(.)com)
- VPN de rábano (rábanovpn(.)com)
- Proxy de pestaña (tabproxy(.)com)
«Los mismos actores que controlan estas marcas también controlan varios dominios relacionados con kits de desarrollo de software (SDK) para servidores proxy residenciales», dijo Google. «Estos SDK no están destinados a instalarse o ejecutarse como aplicaciones independientes, sino que deben integrarse en aplicaciones existentes».
Estos SDK se comercializan para desarrolladores externos como una forma de monetizar sus aplicaciones de Android, Windows, iOS y WebOS. IPIDEA paga a los desarrolladores que integran los SDK en sus aplicaciones por descarga. Esto, a su vez, transforma un dispositivo que instala estas aplicaciones en un nodo para la red proxy, al mismo tiempo que proporciona la funcionalidad anunciada. Los nombres de los SDK controlados por los actores de IPIDEA se enumeran a continuación:
- SDK de Castar (castarsdk(.)com)
- Obtenga SDK (earnsdk(.)io)
- SDK hexadecimal (hexsdk(.)com)
- SDK de paquetes (packetsdk(.)com)
Los SDK tienen superposiciones significativas en su infraestructura de comando y control (C2) y estructura de código. Siguen un sistema C2 de dos niveles en el que los dispositivos infectados se ponen en contacto con un servidor de Nivel Uno para recuperar un conjunto de nodos de Nivel Dos al que conectarse. Luego, la aplicación inicia la comunicación con el servidor de nivel dos para sondear periódicamente las cargas útiles para representarlas a través del dispositivo. El análisis de Google encontró que hay alrededor de 7.400 servidores de nivel dos.
Además de los servicios de proxy, se ha descubierto que los actores de IPIDEA controlan dominios que ofrecen herramientas gratuitas de red privada virtual (VPN), que también están diseñadas para unirse a la red de proxy como un nodo de salida que incorpora el SDK Hex o Packet. Los nombres de los servicios VPN son los siguientes:
- VPN de galeón (galleonvpn(.)com)
- VPN de rábano (rábanovpn(.)com
- Aman VPN (desaparecida)
Además, GTIG dijo que identificó 3.075 archivos binarios únicos de Windows que enviaron una solicitud a al menos un dominio de nivel uno, algunos de los cuales se hicieron pasar por OneDriveSync y Windows Update. Estas aplicaciones de Windows troyanizadas no fueron distribuidas directamente por los actores de IPIDEA. Se han marcado hasta 600 aplicaciones de Android (que abarcan utilidades, juegos y contenido) de múltiples fuentes de descarga por contener código que se conecta a dominios de nivel uno C2 mediante el uso de SDK de monetización para habilitar el comportamiento del proxy.
En una declaración compartida con The Wall Street Journal, un portavoz de la compañía china dijo que había participado en «estrategias de expansión de mercado relativamente agresivas» y «realizado actividades promocionales en lugares inapropiados (por ejemplo, foros de hackers)» y que se había «opuesto explícitamente a cualquier forma de conducta ilegal o abusiva».
Para contrarrestar la amenaza, Google dijo que actualizó Google Play Protect para advertir automáticamente a los usuarios sobre aplicaciones que contienen código IPIDEA. Para dispositivos Android certificados, el sistema eliminará automáticamente estas aplicaciones maliciosas y bloqueará cualquier intento futuro de instalarlas.
«Si bien los proveedores de proxy pueden alegar ignorancia o cerrar estas brechas de seguridad cuando se les notifica, la aplicación y la verificación son un desafío dadas las estructuras de propiedad, los acuerdos de revendedor y la diversidad de aplicaciones intencionalmente turbios», dijo Google.