Selon KrebsOnSecurity, une enquête retrace l’historique, l’infrastructure et les pratiques du service de proxies résidentiels DSLRoot, après un débat lancé sur Reddit par un membre de l’Air National Guard qui hébergeait des équipements DSLRoot chez lui contre rémunération.

• Contexte et modèle économique. DSLRoot, commercialisé aussi sous « GlobalSolutions » (Bahamas, 2012), paie des résidents américains pour héberger du matériel (PC, appareils 5G) et revend l’accès à leurs adresses IP comme proxies dédiés (environ 190 $/mois pour un accès illimité). L’entreprise parle de « regional agents » et affirme interdire les usages illégaux. Le fil Reddit décrit deux laptops reliés à un modem DSL distinct, exécutant une application personnalisée qui ouvre des cmd et « fait des connexions ». 🚩

• Origines et empreinte en ligne. Le service est promu sur BlackHatWorld (comptes DSLRoot/GlobalSolutions), avec des liens historiques vers des identités et domaines tels que « Incorptoday » et un écosystème de sites (ex. instantvirtualcreditcards[.]com, proxyrental[.]net). Archives et outils (Intel 471, DomainTools, Constella) relient ces comptes à des emails spécifiques et à l’utilisateur « USProxyKing », connu pour un programme pay-per-install d’« adware » transformant des hôtes en proxies et pour du démarchage agressif. Des éléments de registres publics et fuites de données relient cet écosystème à Andrei Holas (liens Biélorussie/États-Unis) via des emails et domaines.

• Techniques et capacités logicielles. 🧩 Infrawatch (Lloyd Davies) indique avoir rétro‑ingéniéré l’installeur de DSLRoot : l’agent contacte proxyrental[.]net (service d’« ads » multi‑villes), et le logiciel inclut des capacités de prise de contrôle à distance d’équipements réseau résidentiels, avec exploits spécifiques aux fournisseurs et identifiants administrateur codés en dur. Il effectue aussi l’énumération des réseaux Wi‑Fi à proximité. Le réseau DSLRoot compterait désormais moins de 300 nœuds, principalement sur des FAI DSL (CenturyLink, Frontier). Le 17 août, GlobalSolutions a annoncé une restructuration vers des lignes « DSL only ».

• Pratiques et risques signalés. Le service a attiré au fil du temps des étudiants/jeunes adultes cherchant un revenu d’appoint, certains demandant des commissions de parrainage. L’article met en perspective le phénomène des « proxies résidentiels » et de « botnets légaux », citant des usages comme la mise en ligne d’annonces (Craigslist) sans ban. Il rappelle qu’une femme en Arizona a été condamnée en juillet 2025 (102 mois) pour avoir hébergé une « laptop farm » utilisée par des acteurs nord‑coréens afin d’obtenir des emplois dans plus de 300 entreprises américaines. 🕵️

• Situation actuelle. DSLRoot évoque une concurrence accrue de réseaux de proxies résidentiels « légaux » qui demandent aux utilisateurs d’installer des logiciels sur leurs appareils, rendant difficile la compétitivité du modèle historique. L’article documente l’évolution de ce service et de son écosystème, entre marketing blackhat, monétisation de bande passante et capacités logicielles intrusives. Il s’agit d’un article d’investigation et d’analyse de menace visant à éclairer l’origine, les techniques et l’empreinte d’un réseau de proxies résidentiels.

IOC/Indicateurs techniques 🔗

  • IP: 208.85.1.164
  • Domaines associés (extraits): dslroot[.]com, regacard[.]com, 4groot[.]com, residential-ip[.]com, 4gemperor[.]com, ip-teleport[.]com, proxyrental[.]net, instantvirtualcreditcards[.]com, dslbay[.]com, dslhub[.]net, localsim[.]com, rdslpro[.]com, virtualcards[.]biz/cc, virtualvisa[.]cc, cardnow[.]ru, incorptoday[.]com, andrei[.]me, andreigolos[.]com
  • Identifiants/contact: clickdesk@instantvirtualcreditcards[.]com, prepaidsolutions@yahoo[.]com, incorptoday@gmail[.]com, Skype: dslroot; Comptes BlackHatWorld: DSLRoot, GlobalSolutions; alias: USProxyKing

TTPs observés 🛠️

  • Monétisation de proxies résidentiels via hôtes nationaux (« regional agents »)
  • Programme pay‑per‑install d’« adware » pour transformer des hôtes en proxies
  • Command‑and‑control vers proxyrental[.]net pour la gestion/usage (ex. diffusion d’annonces)
  • Exploitation d’équipements réseau résidentiels: exploits spécifiques fournisseurs, identifiants admin codés en dur
  • Énumération des réseaux Wi‑Fi à proximité pour élargir la surface
  • Hébergement de fermes de laptops (contexte plus large de menaces)

🧠 TTPs et IOCs détectés

TTP

[‘Monétisation de proxies résidentiels via hôtes nationaux (« regional agents »)’, ‘Programme pay-per-install d’adware pour transformer des hôtes en proxies’, ‘Command-and-control vers proxyrental[.]net pour la gestion/usage (ex. diffusion d’annonces)’, ‘Exploitation d’équipements réseau résidentiels: exploits spécifiques fournisseurs, identifiants admin codés en dur’, ‘Énumération des réseaux Wi-Fi à proximité pour élargir la surface’, ‘Hébergement de fermes de laptops (contexte plus large de menaces)’]

IOC

[‘IP: 208.85.1.164’, ‘Domaines associés: dslroot[.]com, regacard[.]com, 4groot[.]com, residential-ip[.]com, 4gemperor[.]com, ip-teleport[.]com, proxyrental[.]net, instantvirtualcreditcards[.]com, dslbay[.]com, dslhub[.]net, localsim[.]com, rdslpro[.]com, virtualcards[.]biz/cc, virtualvisa[.]cc, cardnow[.]ru, incorptoday[.]com, andrei[.]me, andreigolos[.]com’, ‘Identifiants/contact: clickdesk@instantvirtualcreditcards[.]com, prepaidsolutions@yahoo[.]com, incorptoday@gmail[.]com, Skype: dslroot’, ‘Comptes BlackHatWorld: DSLRoot, GlobalSolutions’, ‘Alias: USProxyKing’]

🔗 Source originale : https://krebsonsecurity.com/2025/08/dslroot-proxies-and-the-threat-of-legal-botnets/