Google interrumpe IPIDEA, una de las redes proxy residenciales más grandes del mundo

Google anunció el miércoles que trabajó junto con otros socios para interrumpir IPIDEA, que describió como una de las redes proxy residenciales más grandes del mundo.

Para ello, la empresa afirmó haber emprendido acciones legales para desmantelar docenas de dominios utilizados para controlar dispositivos y el tráfico proxy a través de ellos. Al momento de redactar este informe, el sitio web de IPIDEA («www.ipidea.io») ya no es accesible. Se promocionaba como el «proveedor líder mundial de proxy IP», con más de 6,1 millones de direcciones IP actualizadas diariamente y 69.000 nuevas direcciones IP diarias.

«Las redes proxy residenciales se han convertido en una herramienta omnipresente para todo, desde el espionaje de alto nivel hasta planes criminales masivos», dijo John Hultquist, analista jefe de Google Threat Intelligence Group (GTIG), en una declaración compartida con The Hacker News.

Al enrutar el tráfico a través de la conexión a internet doméstica, los atacantes pueden ocultarse a simple vista mientras se infiltran en entornos corporativos. Al desmantelar la infraestructura utilizada para operar la red IPIDEA, hemos desmantelado un mercado global que vendía acceso a millones de dispositivos de consumo pirateados.

Google afirmó que, tan solo este mes, la infraestructura proxy de IPIDEA ha sido utilizada por más de 550 grupos de amenazas individuales con diversas motivaciones, como ciberdelincuencia, espionaje, amenazas persistentes avanzadas (APT) y operaciones de información, provenientes de todo el mundo, incluyendo China, Corea del Norte, Irán y Rusia. Estas actividades abarcan desde el acceso a entornos SaaS de las víctimas, infraestructura local y ataques de rociado de contraseñas.

«Los proxies residenciales han sido utilizados por una gran cantidad de amenazas, pero aparecen con frecuencia en incidentes relacionados con el ciberespionaje ruso y chino», declaró Hultquist a The Hacker News. «Han sido utilizados por APT28 y Sandworm, así como por Volt Typhoon».

En un análisis publicado a principios de este mes, Synthient reveló que los actores de amenazas detrás de la botnet AISURU/Kimwolf estaban abusando de fallas de seguridad en servicios de proxy residenciales como IPIDEA para transmitir comandos maliciosos a dispositivos susceptibles de Internet de las cosas (IoT) detrás de un firewall dentro de redes locales para propagar el malware.

El malware que convierte los dispositivos de los consumidores en endpoints proxy se integra sigilosamente en aplicaciones y juegos preinstalados en dispositivos de streaming Android TV de otras marcas. Esto obliga al dispositivo infectado a retransmitir tráfico malicioso y a participar en ataques de denegación de servicio distribuido (DDoS).

También se dice que IPIDEA ha lanzado aplicaciones independientes, comercializadas directamente a personas que buscan ganar «dinero fácil» mediante publicidad descaradamente que pagarán a los consumidores para que instalen la aplicación y le permitan utilizar su «ancho de banda no utilizado».

Si bien las redes proxy residenciales ofrecen la capacidad de enrutar el tráfico a través de direcciones IP propiedad de proveedores de servicios de Internet (ISP), esto también puede proporcionar la cobertura perfecta para los actores maliciosos que buscan enmascarar el origen de su actividad maliciosa.

Para ello, los operadores de redes proxy residenciales necesitan código que se ejecute en los dispositivos de los consumidores para registrarlos en la red como nodos de salida, explicó GTIG. Estos dispositivos vienen precargados con software proxy o se unen a la red proxy cuando los usuarios, sin saberlo, descargan aplicaciones troyanizadas con código proxy integrado. Algunos usuarios pueden instalar este software en sus dispositivos a sabiendas, atraídos por la promesa de monetizar su ancho de banda disponible.

El equipo de inteligencia de amenazas del gigante tecnológico afirmó que IPIDEA se ha hecho conocido por facilitar diversas botnets, incluyendo BADBOX 2.0, con sede en China . En julio de 2025, Google presentó una demanda contra 25 personas o entidades anónimas en China por presuntamente operar la botnet y su infraestructura de proxy residencial asociada.

También señaló que las aplicaciones proxy de IPIDEA no solo enrutaban el tráfico a través del dispositivo de nodo de salida, sino que también enviaban tráfico al dispositivo con el objetivo de comprometerlo, lo que planteaba graves riesgos a los consumidores cuyos dispositivos pudieran haberse unido consciente o inconscientemente a la red proxy.

La red proxy que impulsa IPIDEA no es una entidad monolítica. Es, más bien, un conjunto de múltiples marcas reconocidas de proxy residencial bajo su control.

Ipidea (ipidea[.]io)
Proxy 360 (360proxy[.]com)
Proxy 922 (922proxy[.]com)
Proxy ABC (abcproxy[.]com)
Proxy Cherry (cherryproxy[.]com)
Puerta VPN (doorvpn[.]com)
Galleon VPN (galleonvpn[.]com)
IP 2 Mundo (ip2world[.]com)
Luna Proxy (lunaproxy[.]com)
Proxy PIA S5 (piaproxy[.]com)
Proxy PY (pyproxy[.]com)
VPN de rábano (radishvpn[.]com)
Proxy de pestaña (tabproxy[.]com)

«Los mismos actores que controlan estas marcas también controlan varios dominios relacionados con los Kits de Desarrollo de Software (SDK) para servidores proxy residenciales», declaró Google. «Estos SDK no están diseñados para instalarse ni ejecutarse como aplicaciones independientes, sino para integrarse en aplicaciones existentes».

Estos SDK se comercializan a desarrolladores externos para monetizar sus aplicaciones de Android, Windows, iOS y WebOS. Los desarrolladores que integran los SDK en sus aplicaciones reciben un pago de IPIDEA por cada descarga. Esto, a su vez, transforma el dispositivo que instala estas aplicaciones en un nodo para la red proxy, a la vez que proporciona la funcionalidad anunciada. Los nombres de los SDK controlados por los actores de IPIDEA se enumeran a continuación:

Kit de desarrollo de software de Castar (castarsdk[.]com)
Kit de desarrollo de software Earn (earnsdk[.]io)
SDK hexadecimal (hexsdk[.]com)
SDK de paquetes (packetsdk[.]com)

Los SDK presentan importantes solapamientos en su infraestructura de comando y control (C2) y estructura de código. Siguen un sistema C2 de dos niveles donde los dispositivos infectados contactan con un servidor de nivel uno para obtener un conjunto de nodos de nivel dos a los que conectarse. La aplicación inicia entonces la comunicación con el servidor de nivel dos para sondear periódicamente las cargas útiles que se enviarán por proxy al dispositivo. El análisis de Google reveló que existen aproximadamente 7400 servidores de nivel dos.

Además de los servicios proxy, se ha descubierto que los actores de IPIDEA controlan dominios que ofrecen herramientas gratuitas de Red Privada Virtual (VPN), las cuales también están diseñadas para unirse a la red proxy como un nodo de salida que incorpora el SDK Hex o Packet. Los nombres de los servicios VPN son los siguientes:

Galleon VPN (galleonvpn[.]com)
VPN de rábano (radishvpn[.]com
Aman VPN (desaparecido)

Además, GTIG afirmó haber identificado 3075 binarios únicos de Windows que enviaron una solicitud a al menos un dominio de Nivel 1, algunos de los cuales se hicieron pasar por OneDriveSync y Windows Update. Estas aplicaciones de Windows troyanizadas no fueron distribuidas directamente por los actores de IPIDEA. Se han detectado hasta 600 aplicaciones de Android (que abarcan utilidades, juegos y contenido) de múltiples fuentes de descarga por contener código que se conecta a dominios C2 de Nivel 1 mediante el uso de los SDK de monetización para habilitar el comportamiento del proxy.

En una declaración compartida con The Wall Street Journal, un portavoz de la compañía china dijo que la empresa había participado en «estrategias de expansión de mercado relativamente agresivas» y «realizado actividades promocionales en lugares inapropiados (por ejemplo, foros de piratas informáticos)», y que se ha «opuesto explícitamente a cualquier forma de conducta ilegal o abusiva».

Para contrarrestar la amenaza, Google anunció la actualización de Google Play Protect para advertir automáticamente a los usuarios sobre las aplicaciones que contienen código IPIDEA. En los dispositivos Android certificados, el sistema eliminará automáticamente estas aplicaciones maliciosas y bloqueará cualquier intento futuro de instalarlas.

«Si un dispositivo no cuenta con la certificación Play Protect , Google no cuenta con un registro de resultados de pruebas de seguridad y compatibilidad», afirmó Hultquist. «Los dispositivos Android con certificación Play Protect se someten a pruebas exhaustivas para garantizar la calidad y la seguridad del usuario. Para confirmar si un dispositivo cuenta con el sistema operativo Android TV y la certificación Play Protect , nuestro sitio web de Android TV ofrece la lista más actualizada de socios».

Dicho esto, IPIDEA es solo uno de los muchos servicios proxy que los operadores de AISURU/Kimwolf han utilizado para escalar y monetizar su presencia. Entre los SDK utilizados para convertir los sistemas infectados en repetidores de tráfico de internet se encuentra otro kit de herramientas llamado ByteConnect, distribuido por Plainproxies. ByteConnect se promociona como una forma de «convertir sus aplicaciones en ingresos pasivos» y como una herramienta para «ayudar a los desarrolladores a monetizar sin problemas tanto aplicaciones como dispositivos IoT». Un tercer proveedor involucrado en la venta de proxies de Kimwolf es Maskify.

«Actualmente, nos centramos en la red IPIDEA debido a su conexión con diversas actividades maliciosas, incluyendo la botnet BadBox 2.0, contra la que actuamos el año pasado», declaró Hultquist. «De ahora en adelante, seguiremos actuando contra las organizaciones y tecnologías que permiten comportamientos maliciosos dirigidos a nuestros usuarios».

«Si bien los proveedores de proxy pueden alegar desconocimiento o cerrar estas brechas de seguridad cuando se les notifica, la aplicación y la verificación son un desafío debido a las estructuras de propiedad intencionalmente turbias, los acuerdos de revendedores y la diversidad de aplicaciones», dijo Google.

Lumen Technologies, que ayudó a GTIG a verificar la infraestructura y la escala de IPIDEA, dijo a The Hacker News que las acciones de Google están frenando efectivamente la capacidad de los delincuentes de explotar estos servicios con fines maliciosos al eliminar aplicaciones que distribuyen malware, pero señaló que es necesaria una presión sostenida sobre dichos servicios de proxy residencial desarrollados a través de malware para combatir la amenaza.

«Los proveedores de servicios de internet pueden contribuir bloqueando el tráfico a la infraestructura que soporta servicios proxy residenciales con malware», afirmó Chris Formosa, ingeniero sénior de seguridad de la información de Black Lotus Labs en Lumen Technologies. «Se requiere un esfuerzo coordinado y continuo para eliminar estas amenazas».

Es demasiado pronto para evaluar el impacto total. Hoy en día, aproximadamente 5 millones de bots distintos siguen conectados a los servidores de comando y control de IPIDEA, lo que indica que siguen operando a gran escala. Sin embargo, hemos observado una disminución del 40 % en el total de proxies hoy en comparación con las semanas anteriores, y prevemos reducciones adicionales a medida que se pierdan más proxies.

Fuente y redacción: thehackernews.com

Falla de divulgación de información en Apache Tomcat; parche ahora.

Tiempo, dinero y confianza, las pérdidas tras un ciberataque

Titular de Ciberseguridad en Japón jamás ha usado una computadora