Google Threat Intelligence Group (GTIG), en colaboración con socios, ha ejecutado una acción coordinada para desmantelar lo que considera una de las redes de proxies residenciales más grandes a nivel global, identificada como IPIDEA. Esta infraestructura, poco visible, es explotada por una amplia gama de actores maliciosos para enmascarar operaciones digitales.
La interrupción principal constó de tres ejes de acción: se emprendieron acciones legales para desactivar dominios de control de tráfico y, simultáneamente, se compartió inteligencia técnica detallada sobre los SDKs de proxy con proveedores de plataformas y agencias de aplicación de la ley. Esta estrategia colectiva busca proteger a los usuarios finales al restringir la capacidad de expansión de la red.
Los SDKs maliciosos de IPIDEA se ofrecen a desarrolladores en plataformas móviles y de escritorio, inscribiendo dispositivos de usuarios en la red sin su conocimiento explícito, a menudo a cambio de una promesa de monetización de ancho de banda por parte de los usuarios. Estos dispositivos se convierten en nodos de salida, permitiendo a los atacantes enmascarar su actividad utilizando direcciones IP residenciales legítimas.
Google reforzó su ecosistema Android mediante Google Play Protect, que ahora advierte y elimina aplicaciones conocidas que contengan estos SDKs, bloqueando intentos futuros de instalación. GTIG ha observado que estos proxies son utilizados predominantemente por actores de amenazas sofisticadas, incluyendo facilitadores de botnets como BadBox2.0, Aisuru y Kimwolf, además de grupos de espionaje y operaciones de información de naciones.
El análisis de GTIG reveló que los operadores de IPIDEA controlan varias marcas de VPN y proxies aparentemente independientes, como Cherry Proxy, lo que dificulta la atribución debido a acuerdos de reventa y estructuras de propiedad intencionalmente opacas. Al actuar como nodos de salida, estos dispositivos comprometen la seguridad del consumidor, ya que el tráfico no controlado puede exponer vulnerabilidades en redes domésticas o incluso permitir el tráfico entrante para comprometer el dispositivo.
La infraestructura de IPIDEA opera bajo un sistema de dos niveles para gestionar los nodos de salida, donde el dispositivo inicial se conecta a servidores de Nivel Uno para recibir la carga útil de configuración del Nivel Dos. La investigación confirmó que varios SDKs, incluyendo EarnSDK y PacketSDK, comparten una infraestructura de comando y control y estructuras de código idénticas, evidenciando una operación centralizada.
Se estima que estas acciones han causado una degradación significativa en las operaciones comerciales y la red de IPIDEA, disminuyendo el grupo disponible de dispositivos en millones. La naturaleza interconectada de estas redes de proxies residenciales sugiere que el impacto podría extenderse a entidades afiliadas que dependen de estos recursos para sus propias actividades ilícitas.
