Google发起行动 牵头打击全球最大住宅代理网络IPIDEA

Google威胁情报团队近日联合多家合作伙伴，对被认为是全球最大住宅代理网络之一的 IPIDEA 生态发起行动，重创其代理基础设施和商业运营，预计已使该网络可利用的设备数量减少数百万台。 由于住宅代理运营商之间普遍存在转售与合作关系，此次行动被认为还将对关联代理品牌和上下游黑灰产业链造成连锁影响。

Google表示，本次行动围绕三项措施展开：一是通过法律手段拆除用于控制受感染设备和中转代理流量的指挥与控制（C2）域名；二是将调查过程中发现的 IPIDEA 软件开发工具包（SDK）及代理软件的技术情报共享给平台服务商、执法机构和安全研究机构，以推动整个生态内的识别和清理；三是强化 Android 平台防护，确保 Google Play Protect 能自动警示并卸载已知集成 IPIDEA SDK 的应用，并阻止此类应用的未来安装尝试。

所谓住宅代理网络，是指向客户出售通过普通家庭或小型企业宽带出口转发流量的服务，其 IP 地址由各国运营商分配给终端用户，而非传统数据中心机房。 通过在全球范围内控制并“出租”大量居民宽带出口，攻击者可以将恶意活动伪装成普通用户行为，给网络防御带来极大困难，尤其是来自美国、加拿大和欧洲等地区的住宅 IP 更为抢手。 为构建这样一张网络，运营方需要在海量用户设备上运行特定代码，使其悄然加入代理网络，成为所谓“出口节点”。

Google威胁情报团队的研究显示，IPIDEA 相关代理服务在现实中被广泛滥用，其 SDK 曾为多种僵尸网络扩容设备，其代理软件又被不法分子用于远程控制这些僵尸网络。 Google称，此前他们已对 BadBox2.0 僵尸网络提起诉讼，而近期活动活跃的 Aisuru、Kimwolf 等僵尸网络同样大量利用 IPIDEA 生态。 在 2026 年 1 月短短七天内，Google共观察到超过 550 个威胁团伙使用被标记为 IPIDEA 出口节点的 IP 地址隐匿行动，其中包括来自中国、朝鲜、伊朗和俄罗斯的间谍和犯罪组织，其活动涉及访问受害者的 SaaS 环境、本地基础设施以及大规模密码喷射攻击等。

研究还发现，大量住宅代理出口节点的 IP 存在显著重叠，推测是由于代理服务之间的转售和合作协议，使得对单一品牌的打击难以简单按品牌边界精确量化和归因。 此外，住宅代理不仅威胁组织安全，也给普通用户带来风险：一旦设备加入此类网络，其 IP 地址及本地网络将被用作黑客活动的跳板，用户可能因异常流量而被各类服务标记或封禁。 相关代理程序还会在设备和家庭网络中引入安全漏洞，当设备被用作出口节点时，攻击者可以借由代理隧道访问同一局域网中的其他私人设备，从而将原本封闭的家庭网络暴露给互联网。

Google的分析发现，市面上一批看似互不相干的住宅代理或 VPN 品牌，实际上与 IPIDEA 由同一批运营者控制。 其中包括 360 Proxy、922 Proxy、ABC Proxy、Cherry Proxy、Door VPN、Galleon VPN、IP 2 World、Ipidea、Luna Proxy、PIA S5 Proxy、PY Proxy、Radish VPN、Tab Proxy 等多个品牌域名。 同一运营方还掌控了一系列与住宅代理 SDK 相关的域名，这些 SDK 并非面向终端用户，而是面向应用开发者进行嵌入，声称可帮助开发者通过“流量变现”等方式获利，并提供 Android、Windows、iOS 和 WebOS 等多平台支持。 在开发者将这些 SDK 集成到其应用后，IPIDEA 会按下载量等指标向开发者支付费用。

一旦 SDK 被嵌入应用，安装该应用的设备就会在提供原有功能的同时，悄然被变成代理网络的出口节点，为运营者提供维持庞大住宅代理网络所需的大量终端设备。 虽然不少住宅代理服务声称其 IP 来源“合法合规”，但Google调查发现，这类说法往往夸大甚至与事实不符，许多含恶意代理代码的应用并未向用户明确披露其会将设备加入 IPIDEA 网络。 安全研究人员此前也在未经认证或贴牌的 Android 机顶盒等设备上发现隐藏的住宅代理载荷。

在技术层面，Google对嵌入 SDK 代码的第三方软件以及 SDK 自身进行了静态和动态分析，试图还原其指挥与控制基础设施结构。 分析显示，EarnSDK、PacketSDK、CastarSDK 和 HexSDK 在 C2 基础设施和代码结构上高度重叠，整体采用两层式架构。 第一层中，设备启动后会从预设的多个域名中选择一处连接，向服务器发送设备诊断信息，并获知可供连接的第二层节点 IP；第二层中，客户端定期轮询这些 IP 的特定端口以获取代理任务，一旦接到任务，就与对应的代理端口建立专用连接，对收到的数据进行转发。

在具体实现上，第一层通信中，设备信息通过 HTTP GET 查询参数或 POST 请求体上报，其中包含可能用于结算分成的“key”字段，服务器响应则返回轮询间隔、心跳时间及若干第二层节点 IP 配置。 第二层通信则使用纯 IP 地址和不同端口构成的“connect / proxy”对：前者用于发送带编码 JSON 负载的 TCP 轮询包，后者用于在分配到任务后接收真实业务流量并转发至目标完全限定域名（FQDN）。 设备会根据任务中的连接 ID 建立与代理端口的会话，并将收到的数据原样转发给任务指定的外部目标，从而在用户不知情的情况下完成代理链路搭建。

进一步的基础设施关联分析显示，不同 SDK 虽然各自使用不同的第一层域名，但其背后共享同一批第二层服务器池。 Google在分析各类恶意样本和 SDK 时发现，截至撰文时约有 7400 台第二层服务器分布在全球各地，数量随需求动态变化，包括部分部署在美国本土的节点。 这说明尽管对外包装和域名品牌各异，IPIDEA 旗下多个 SDK 实际依托同一套后端基础设施运营代理业务。

在传播途径方面，IPIDEA 运营者旗下还控制多个提供免费 VPN 服务的域名，相应应用表面提供 VPN 功能，实际上暗藏 Hex 或 Packet SDK，将用户设备在未充分告知的情况下接入 IPIDEA 代理网络。 此外，Google共识别出 3075 个在动态分析中对第一层域名发起 DNS 请求的 Windows 可执行文件，其中包括用于将终端变为出口节点的 PacketShare 程序，以及伪装成 OneDriveSync、Windows Update 的“李鬼”应用，且这些木马并非由 IPIDEA 官方直接分发。 在 Android 生态中，Google发现超过 600 款跨不同下载渠道分发的应用含有连接至第一层 C2 域名的代码，这些应用表面功能多为工具、游戏和内容类，但内置了具备 IPIDEA 代理行为的变现 SDK。

为全面拆除 IPIDEA 的基础设施，Google本周采取了一系列协同行动。 在保护设备层面，Google通过法律程序打击用于控制受感染设备和转发流量的 C2 域名，从源头削弱代理网络的控制能力，同时在 Android 生态中依据平台政策对隐藏代理代码的“投毒”应用采取执法措施，依托 Google Play Protect 自动识别、提示并移除集成 IPIDEA SDK 的应用，并阻止未来安装。 在限制分发方面，Google还对用于推广 IPIDEA 及其各代理品牌的软件、SDK 等营销站点域名发起法律行动，阻断其获客和扩张渠道。

Google还强调，本次行动离不开行业伙伴的配合和情报共享。 为帮助其他机构采取相应措施，Google向包括 Spur、Lumen 旗下 Black Lotus Labs 在内的多家安全公司共享了研究成果，共同梳理住宅代理网络的规模和其所助长的恶意活动类型。 Google同时与 Cloudflare 合作，对 IPIDEA 相关域名解析进行干预，进一步削弱其下发指令和推广产品的能力。

尽管Google认为此次行动已对这一大型住宅代理提供商造成严重打击，但其也警告称，该行业整体仍在迅速扩张，且不同提供商之间存在广泛重叠，使住宅代理逐渐演变为一个依赖欺瞒的“灰色市场”，通过劫持消费者带宽为全球间谍和网络犯罪活动提供隐身通道。 为此，Google呼吁业界、监管和用户多方共同行动，加强对住宅代理技术风险的研究和防控。

在用户层面，Google呼吁消费者对宣称可以通过“分享闲置带宽”“出租网络”获得报酬的应用保持高度警惕，因为这类应用往往是非法代理网络扩容的主要渠道，会在不知不觉中为家庭网络打开新的攻击入口。 Google建议用户尽量通过官方应用商店获取软件，审慎审核第三方 VPN 和代理应用的权限，确保 Google Play Protect 等内置安全防护处于开启状态。 在购买机顶盒等联网设备时，用户也应优先选择信誉良好的品牌；例如，用户可通过 Android TV 官方网站查询支持官方 Android TV OS 并通过 Play Protect 认证的设备名单，并参考Google提供的步骤检查手中的 Android 设备是否已通过 Play Protect 认证。

在政策和行业治理方面，Google指出，住宅代理服务长期打着“合法业务”的旗号发展壮大，但若要声称“伦理来源”“用户自愿”，必须拿出透明、可审计的用户同意证据。 同时，应用开发者也应对自身集成的变现 SDK 负起审查责任，避免在不知情或诱导情况下将用户设备纳入高风险代理网络。 Google呼吁移动平台、运营商和其他科技平台持续加强情报共享，落实最佳实践，识别并遏制非法代理网络的危害。

为协助更广泛的安全社区开展溯源和检测，Google在 VirusTotal 的 GTI Collection 中向注册用户提供了与本次行动相关的全面威胁指标（IOCs），包括大量用于 C2 的可疑域名、证书签名信息以及涵盖 DLL、APK、EXE 等多种文件类型的样本哈希值，供安全团队用于猎杀和封堵相关活动。