Source : Google Threat Intelligence Group (GTIG), 28 janvier 2026. GTIG détaille une opération conjointe visant à perturber ce qu’il présente comme l’un des plus grands réseaux de proxies résidentiels au monde, IPIDEA, utilisé à grande échelle par des acteurs malveillants.

GTIG décrit trois volets d’action principaux : prise de mesures légales pour faire retirer des domaines de commande et de contrôle (C2) et de marketing, partage de renseignements techniques (SDKs et logiciels proxy) avec plateformes, forces de l’ordre et partenaires de recherche, et renforcement des protections Android via Google Play Protect pour détecter, avertir et supprimer les applications intégrant les SDKs IPIDEA. GTIG estime que ces actions ont « réduit de millions » le nombre de dispositifs disponibles pour le réseau, avec des impacts potentiels en cascade chez des entités affiliées.

Le rapport souligne que les proxies résidentiels, reposant sur des adresses IP d’abonnés domestiques/PME, masquent l’activité malveillante et compliquent la détection. Selon GTIG, IPIDEA est lié à de nombreuses marques de proxy/VPN et à des SDKs embarqués qui enrôlent à l’insu des utilisateurs leurs appareils comme nœuds de sortie. GTIG observe un usage massif des nœuds IPIDEA par plus de 550 groupes suivis en une semaine (espionnage, crime, opérations d’influence), incluant des groupes associés à la Chine, la Corée du Nord, l’Iran et la Russie, pour des accès à des environnements SaaS, des infrastructures on-prem et des campagnes de password spraying.

Sur le plan technique, GTIG documente une infrastructure C2 en deux niveaux: des domaines « Tier One » qui renvoient des paramètres (planning, heartbeat) et une liste d’IP « Tier Two »; puis un canal de polling (port “connect”) et un canal de proxy (port “proxy”) pour relayer des charges TCP vers des FQDN cibles via l’appareil enrôlé. Les SDKs (EarnSDK, PacketSDK, CastarSDK, HexSDK) partagent code et infrastructures, et un pool d’environ 7 400 nœuds Tier Two est observé, variant quotidiennement. La distribution s’appuie sur des apps trojanisées (Windows se faisant passer pour OneDriveSync/Windows Update), des apps Android « monétisées » (jeux, utilitaires, contenus), des appareils AOSP non certifiés avec charges proxy cachées, et des VPN gratuits embarquant les SDKs.

GTIG avertit des risques pour les consommateurs dont les appareils deviennent des nœuds de sortie : trafic non contrôlé transitant via le réseau domestique, exposition possible d’appareils privés du LAN à Internet et, selon l’analyse, trafic envoyé vers l’appareil par le proxy pour tenter de le compromettre. Les utilisateurs peuvent voir leur IP associée à des activités malveillantes et subir blocages ou soupçons.

IOCs (extraits du rapport) 🔎

  • Marques/produits liés à IPIDEA :
    • 360proxy.com, 922proxy.com, abcproxy.com, cherryproxy.com, doorvpn.com, galleonvpn.com, ip2world.com, ipidea.io, lunaproxy.com, piaproxy.com (PIA S5 Proxy), pyproxy.com, radishvpn.com, tabproxy.com
  • SDKs affiliés :
    • castarsdk.com (Castar SDK), earnsdk.io (Earn SDK), hexsdk.com (Hex SDK), packetsdk.com (Packet SDK)
  • C2 Tier One (exemples/patterns) :
    • PacketSDK : http://{random}.api-seed.packetsdk.xyz | .net | .io
    • Castar/Hex : dispatch1.hexsdk.com, cfe47df26c8eaf0a7c136b50c703e173.com, 8b21a945159f23b740c836eb50953818.com, 31d58c226fc5a0aa976e13ca9ecebcc8.com
    • EarnSDK (historiques/observés) : holadns.com, martianinc.co, okamiboss.com, v46wd6uramzkmeeo.in, 6b86b273ff34fce1.online, 0aa0cf0637d66c0d.com, aa86a52a98162b7d.com, 442fe7151fb1e9b5.com, BdRV7WlBszfOTkqF.uk
  • Distribution (sites/apps) :
    • galleonvpn.com, radishvpn.com, Aman VPN (défunt)
  • Tier Two (échantillons vus dans le flux) :
    • 49.51.68.143:{1000,2000}, 45.78.214.188:{800,799}

TTPs observées 🧩

  • Enrôlement d’appareils via SDKs monétisés embarqués (Android/Windows/iOS/WebOS) pour en faire des nœuds de sortie de proxy résidentiel.
  • C2 en deux niveaux avec distribution d’IPs Tier Two, polling JSON encodé, ID de connexion et relai transparent de charges TCP vers des FQDN.
  • Distribution trojanisée: apps Windows se présentant comme OneDriveSync/Windows Update; apps Android utilitaires/jeux; VPN gratuits intégrant les SDKs; appareils AOSP non certifiés avec charges cachées.
  • Usage opérationnel par des acteurs d’espionnage, crime et info-ops pour accès SaaS, intrusions on-prem et password spraying.
  • Partage/recouvrement d’infrastructures entre marques/SDKs et scaling dynamique (~7 400 nœuds Tier Two).

Botnets et usages associés 🕸️

  • Implication d’IPIDEA dans des botnets, dont BadBox2.0 (ciblé par une action en justice antérieure), Aisuru et Kimwolf.

Il s’agit d’une analyse de menace publiée par GTIG, combinant renseignement technique et annonce d’actions de démantèlement, visant à documenter l’écosystème IPIDEA et à favoriser une application coordonnée dans l’écosystème.

🧠 TTPs et IOCs détectés

TTP

[‘Enrôlement d’appareils via SDKs monétisés embarqués (Android/Windows/iOS/WebOS) pour en faire des nœuds de sortie de proxy résidentiel.’, ‘C2 en deux niveaux avec distribution d’IPs Tier Two, polling JSON encodé, ID de connexion et relai transparent de charges TCP vers des FQDN.’, ‘Distribution trojanisée: apps Windows se présentant comme OneDriveSync/Windows Update; apps Android utilitaires/jeux; VPN gratuits intégrant les SDKs; appareils AOSP non certifiés avec charges cachées.’, ‘Usage opérationnel par des acteurs d’espionnage, crime et info-ops pour accès SaaS, intrusions on-prem et password spraying.’, ‘Partage/recouvrement d’infrastructures entre marques/SDKs et scaling dynamique (~7 400 nœuds Tier Two).’]

IOC

{‘domains’: [‘360proxy.com’, ‘922proxy.com’, ‘abcproxy.com’, ‘cherryproxy.com’, ‘doorvpn.com’, ‘galleonvpn.com’, ‘ip2world.com’, ‘ipidea.io’, ’lunaproxy.com’, ‘piaproxy.com’, ‘pyproxy.com’, ‘radishvpn.com’, ’tabproxy.com’, ‘castarsdk.com’, ’earnsdk.io’, ‘hexsdk.com’, ‘packetsdk.com’, ‘dispatch1.hexsdk.com’, ‘cfe47df26c8eaf0a7c136b50c703e173.com’, ‘8b21a945159f23b740c836eb50953818.com’, ‘31d58c226fc5a0aa976e13ca9ecebcc8.com’, ‘holadns.com’, ‘martianinc.co’, ‘okamiboss.com’, ‘v46wd6uramzkmeeo.in’, ‘6b86b273ff34fce1.online’, ‘0aa0cf0637d66c0d.com’, ‘aa86a52a98162b7d.com’, ‘442fe7151fb1e9b5.com’, ‘BdRV7WlBszfOTkqF.uk’], ‘ips’: [‘49.51.68.143’, ‘45.78.214.188’], ‘ports’: [‘1000’, ‘2000’, ‘800’, ‘799’]}

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/disrupting-largest-residential-proxy-network