🔍 Contexte

Publié le 21 avril 2026 par l’équipe de recherche Infrawatch (https://infrawatch.com), cet article présente les résultats d’une investigation menée en février 2026 sur l’écosystème des SIM Farm as a Service, en particulier la plateforme ProxySmart.

🏗️ Infrastructure identifiée

  • 87 instances exposées du panneau de contrôle ProxySmart sur l’internet public, dans 17 pays
  • 94 sites physiques de fermes de téléphones/modems recensés (Amérique du Nord, Europe, Amérique du Sud)
  • 19 États américains couverts, principalement dans des zones métropolitaines à forte couverture 4G/5G
  • Pays identifiés : États-Unis, Canada, Royaume-Uni, Allemagne, Espagne, Portugal, Ukraine, Lettonie, France, Roumanie, Brésil, Irlande, Pays-Bas, Australie, Italie, Pologne, Géorgie
  • Lié à 24 fournisseurs proxy commerciaux et 35 opérateurs mobiles

⚙️ Fonctionnement de ProxySmart

ProxySmart est un logiciel OEM à destination des opérateurs de fermes SIM, associé à une empreinte vendeur basée en Biélorussie. Il offre une stack complète :

  • Gestion des appareils (smartphones Android via APK non signé, modems USB 4G/5G via ModemManager)
  • Rotation automatique d’IP (bascule du mode avion ~3 secondes pour les téléphones)
  • Provisionnement client, gestion des plans, vente de proxies au détail
  • Protocoles supportés : OpenVPN, SOCKS5, VLESS, HTTP proxy
  • Usurpation de fingerprint OS TCP/IP (profils : macOS, iOS, Windows, Android) configurables par port
  • Backend implémenté en Python, fortement obfusqué par PyArmor

🌐 Opérateurs et fournisseurs downstream

  • Certains fournisseurs ciblent explicitement des audiences russophones pour contourner la censure d’État russe
  • Un service basé en Russie, lié à des fermes SIM hébergées aux États-Unis, fait la promotion sur Telegram
  • Coronium est identifié comme utilisateur downstream établi de ProxySmart, proposant assistance à distance et matériel hardware
  • Absence généralisée de KYC chez les fournisseurs downstream
  • Opérateurs utilisant plusieurs opérateurs mobiles simultanément : AT&T, Verizon, T-Mobile, Vodafone, Deutsche Telekom, Orange, Telstra, Kyivstar, etc.

🔎 Empreinte technique (fingerprint)

  • Réponse HTTP initiale des panneaux ProxySmart : SHA-256 : 739f22524fb0fbb64d9bd8bd9e54df73e17abbe8807ca6df350f69078e4bf164
  • APK Android d’enrôlement : SHA-256 : a644971c559002e70e6adef6a887f236045d9e37448ff0fe9d187767f779ac42
  • Certificats OpenVPN avec subject naming “ProxysmartVPN”
  • Documentation recommande l’usage de reverse proxy (DigitalOcean, Hetzner) pour masquer l’hébergement

🚔 Opérations judiciaires connexes

  • Septembre 2025 : démantèlement par l’US Secret Service à New York de plus de 300 serveurs SIM et 100 000 cartes SIM
  • Octobre 2025 : opération Europol en Lettonie, 7 arrestations, saisie de 1 200 appareils SIM-box et 40 000 cartes SIM actives

📄 Nature de l’article

Publication de recherche CTI à visée de découverte d’infrastructure, documentant un écosystème de proxy mobile à grande échelle. But principal : cartographier et exposer l’infrastructure ProxySmart pour permettre la détection et le blocage par les équipes de sécurité et les opérateurs.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Coronium (cybercriminal) —

TTP

  • T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1036 — Masquerading (Defense Evasion)
  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
  • T1588.002 — Obtain Capabilities: Tool (Resource Development)
  • T1205 — Traffic Signaling (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)

IOC

  • SHA256 : 739f22524fb0fbb64d9bd8bd9e54df73e17abbe8807ca6df350f69078e4bf164VT · MalwareBazaar
  • SHA256 : a644971c559002e70e6adef6a887f236045d9e37448ff0fe9d187767f779ac42VT · MalwareBazaar

Malware / Outils

  • ProxySmart (tool)
  • PyArmor (tool)
  • ModemManager (tool)
  • OpenVPN (tool)

🟡 Indice de vérification factuelle : 59/100 (moyenne)

  • ⬜ infrawatch.com — source non référencée (0pts)
  • ✅ 16593 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ✅ 1/2 IOC(s) confirmé(s) (MalwareBazaar, ThreatFox, VirusTotal) (8pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Coronium (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • a644971c559002e7… (sha256) → VT (5/75 détections)

🔗 Source originale : https://infrawatch.com/blog/inside-the-mobile-farm-the-oem-stack-powering-us-4g-5g-proxy-networks