Google發起行動 牽頭打擊全球最大住宅代理網絡IPIDEA

Google威脅情報團隊近日聯合多家合作伙伴，對被認為是全球最大住宅代理網絡之一的 IPIDEA 生態發起行動，重創其代理基礎設施和商業運營，預計已使該網絡可利用的設備數量減少數百萬臺。 由于住宅代理運營商之間普遍存在轉售與合作關系，此次行動被認為還將對關聯代理品牌和上下游黑灰產業鏈造成連鎖影響。

Google表示，本次行動圍繞三項措施展開：一是通過法律手段拆除用于控制受感染設備和中轉代理流量的指揮與控制（C2）域名；二是將調查過程中發現的 IPIDEA 軟件開發工具包（SDK）及代理軟件的技術情報共享給平臺服務商、執法機構和安全研究機構，以推動整個生態內的識別和清理；三是強化 Android 平臺防護，確保 Google Play Protect 能自動警示并卸載已知集成 IPIDEA SDK 的應用，并阻止此類應用的未來安裝嘗試。

所謂住宅代理網絡，是指向客戶出售通過普通家庭或小型企業寬帶出口轉發流量的服務，其 IP 地址由各國運營商分配給終端用戶，而非傳統數據中心機房。 通過在全球范圍內控制并“出租”大量居民寬帶出口，攻擊者可以將惡意活動偽裝成普通用戶行為，給網絡防御帶來極大困難，尤其是來自美國、加拿大和歐洲等地區的住宅 IP 更為搶手。 為構建這樣一張網絡，運營方需要在海量用戶設備上運行特定代碼，使其悄然加入代理網絡，成為所謂“出口節點”。

Google威脅情報團隊的研究顯示，IPIDEA 相關代理服務在現實中被廣泛濫用，其 SDK 曾為多種僵尸網絡擴容設備，其代理軟件又被不法分子用于遠程控制這些僵尸網絡。 Google稱，此前他們已對 BadBox2.0 僵尸網絡提起訴訟，而近期活動活躍的 Aisuru、Kimwolf 等僵尸網絡同樣大量利用 IPIDEA 生態。 在 2026 年 1 月短短七天內，Google共觀察到超過 550 個威脅團伙使用被標記為 IPIDEA 出口節點的 IP 地址隱匿行動，其中包括來自中國、朝鮮、伊朗和俄羅斯的間諜和犯罪組織，其活動涉及訪問受害者的 SaaS 環境、本地基礎設施以及大規模密碼噴射攻擊等。

研究還發現，大量住宅代理出口節點的 IP 存在顯著重疊，推測是由于代理服務之間的轉售和合作協議，使得對單一品牌的打擊難以簡單按品牌邊界精確量化和歸因。 此外，住宅代理不僅威脅組織安全，也給普通用戶帶來風險：一旦設備加入此類網絡，其 IP 地址及本地網絡將被用作黑客活動的跳板，用戶可能因異常流量而被各類服務標記或封禁。 相關代理程序還會在設備和家庭網絡中引入安全漏洞，當設備被用作出口節點時，攻擊者可以借由代理隧道訪問同一局域網中的其他私人設備，從而將原本封閉的家庭網絡暴露給互聯網。

Google的分析發現，市面上一批看似互不相干的住宅代理或 VPN 品牌，實際上與 IPIDEA 由同一批運營者控制。 其中包括 360 Proxy、922 Proxy、ABC Proxy、Cherry Proxy、Door VPN、Galleon VPN、IP 2 World、Ipidea、Luna Proxy、PIA S5 Proxy、PY Proxy、Radish VPN、Tab Proxy 等多個品牌域名。 同一運營方還掌控了一系列與住宅代理 SDK 相關的域名，這些 SDK 并非面向終端用戶，而是面向應用開發者進行嵌入，聲稱可幫助開發者通過“流量變現”等方式獲利，并提供 Android、Windows、iOS 和 WebOS 等多平臺支持。 在開發者將這些 SDK 集成到其應用后，IPIDEA 會按下載量等指標向開發者支付費用。

一旦 SDK 被嵌入應用，安裝該應用的設備就會在提供原有功能的同時，悄然被變成代理網絡的出口節點，為運營者提供維持龐大住宅代理網絡所需的大量終端設備。 雖然不少住宅代理服務聲稱其 IP 來源“合法合規”，但Google調查發現，這類說法往往夸大甚至與事實不符，許多含惡意代理代碼的應用并未向用戶明確披露其會將設備加入 IPIDEA 網絡。 安全研究人員此前也在未經認證或貼牌的 Android 機頂盒等設備上發現隱藏的住宅代理載荷。

在技術層面，Google對嵌入 SDK 代碼的第三方軟件以及 SDK 自身進行了靜態和動態分析，試圖還原其指揮與控制基礎設施結構。 分析顯示，EarnSDK、PacketSDK、CastarSDK 和 HexSDK 在 C2 基礎設施和代碼結構上高度重疊，整體采用兩層式架構。 第一層中，設備啟動后會從預設的多個域名中選擇一處連接，向服務器發送設備診斷信息，并獲知可供連接的第二層節點 IP；第二層中，客戶端定期輪詢這些 IP 的特定端口以獲取代理任務，一旦接到任務，就與對應的代理端口建立專用連接，對收到的數據進行轉發。

在具體實現上，第一層通信中，設備信息通過 HTTP GET 查詢參數或 POST 請求體上報，其中包含可能用于結算分成的“key”字段，服務器響應則返回輪詢間隔、心跳時間及若干第二層節點 IP 配置。 第二層通信則使用純 IP 地址和不同端口構成的“connect / proxy”對：前者用于發送帶編碼 JSON 負載的 TCP 輪詢包，后者用于在分配到任務后接收真實業務流量并轉發至目標完全限定域名（FQDN）。 設備會根據任務中的連接 ID 建立與代理端口的會話，并將收到的數據原樣轉發給任務指定的外部目標，從而在用戶不知情的情況下完成代理鏈路搭建。

進一步的基礎設施關聯分析顯示，不同 SDK 雖然各自使用不同的第一層域名，但其背后共享同一批第二層服務器池。 Google在分析各類惡意樣本和 SDK 時發現，截至撰文時約有 7400 臺第二層服務器分布在全球各地，數量隨需求動態變化，包括部分部署在美國本土的節點。 這說明盡管對外包裝和域名品牌各異，IPIDEA 旗下多個 SDK 實際依托同一套后端基礎設施運營代理業務。

在傳播途徑方面，IPIDEA 運營者旗下還控制多個提供免費 VPN 服務的域名，相應應用表面提供 VPN 功能，實際上暗藏 Hex 或 Packet SDK，將用戶設備在未充分告知的情況下接入 IPIDEA 代理網絡。 此外，Google共識別出 3075 個在動態分析中對第一層域名發起 DNS 請求的 Windows 可執行文件，其中包括用于將終端變為出口節點的 PacketShare 程序，以及偽裝成 OneDriveSync、Windows Update 的“李鬼”應用，且這些木馬并非由 IPIDEA 官方直接分發。 在 Android 生態中，Google發現超過 600 款跨不同下載渠道分發的應用含有連接至第一層 C2 域名的代碼，這些應用表面功能多為工具、游戲和內容類，但內置了具備 IPIDEA 代理行為的變現 SDK。

為全面拆除 IPIDEA 的基礎設施，Google本周采取了一系列協同行動。 在保護設備層面，Google通過法律程序打擊用于控制受感染設備和轉發流量的 C2 域名，從源頭削弱代理網絡的控制能力，同時在 Android 生態中依據平臺政策對隱藏代理代碼的“投毒”應用采取執法措施，依托 Google Play Protect 自動識別、提示并移除集成 IPIDEA SDK 的應用，并阻止未來安裝。 在限制分發方面，Google還對用于推廣 IPIDEA 及其各代理品牌的軟件、SDK 等營銷站點域名發起法律行動，阻斷其獲客和擴張渠道。

Google還強調，本次行動離不開行業伙伴的配合和情報共享。 為幫助其他機構采取相應措施，Google向包括 Spur、Lumen 旗下 Black Lotus Labs 在內的多家安全公司共享了研究成果，共同梳理住宅代理網絡的規模和其所助長的惡意活動類型。 Google同時與 Cloudflare 合作，對 IPIDEA 相關域名解析進行干預，進一步削弱其下發指令和推廣產品的能力。

盡管Google認為此次行動已對這一大型住宅代理提供商造成嚴重打擊，但其也警告稱，該行業整體仍在迅速擴張，且不同提供商之間存在廣泛重疊，使住宅代理逐漸演變為一個依賴欺瞞的“灰色市場”，通過劫持消費者帶寬為全球間諜和網絡犯罪活動提供隱身通道。 為此，Google呼吁業界、監管和用戶多方共同行動，加強對住宅代理技術風險的研究和防控。

在用戶層面，Google呼吁消費者對宣稱可以通過“分享閑置帶寬”“出租網絡”獲得報酬的應用保持高度警惕，因為這類應用往往是非法代理網絡擴容的主要渠道，會在不知不覺中為家庭網絡打開新的攻擊入口。 Google建議用戶盡量通過官方應用商店獲取軟件，審慎審核第三方 VPN 和代理應用的權限，確保 Google Play Protect 等內置安全防護處于開啟狀態。 在購買機頂盒等聯網設備時，用戶也應優先選擇信譽良好的品牌；例如，用戶可通過 Android TV 官方網站查詢支持官方 Android TV OS 并通過 Play Protect 認證的設備名單，并參考Google提供的步驟檢查手中的 Android 設備是否已通過 Play Protect 認證。

在政策和行業治理方面，Google指出，住宅代理服務長期打著“合法業務”的旗號發展壯大，但若要聲稱“倫理來源”“用戶自愿”，必須拿出透明、可審計的用戶同意證據。 同時，應用開發者也應對自身集成的變現 SDK 負起審查責任，避免在不知情或誘導情況下將用戶設備納入高風險代理網絡。 Google呼吁移動平臺、運營商和其他科技平臺持續加強情報共享，落實最佳實踐，識別并遏制非法代理網絡的危害。

為協助更廣泛的安全社區開展溯源和檢測，Google在 VirusTotal 的 GTI Collection 中向注冊用戶提供了與本次行動相關的全面威脅指標（IOCs），包括大量用于 C2 的可疑域名、證書簽名信息以及涵蓋 DLL、APK、EXE 等多種文件類型的樣本哈希值，供安全團隊用于獵殺和封堵相關活動。