SuperProxy : le réseau proxy résidentiel caché dans les appareils SuperBox

🔍 Contexte

Publié le 28 mai 2026 par Plume Security Labs (Plume Design, Inc.), ce rapport de recherche en deux parties documente l’investigation menée sur les appareils de streaming SuperBox (séries S4, S5, S6, S6MAX). L’enquête a débuté après que le NOC de Plume a détecté un volume anormal de trafic sortant provenant de ces appareils au sein de réseaux résidentiels, menaçant leur stabilité.

🎯 Vecteurs d’infection identifiés

L’investigation a mis en évidence plusieurs vecteurs permettant l’installation de logiciels malveillants :

• ADB (Android Debug Bridge) exposé sur le port 5858 sans mécanisme d’approbation à l’écran, accessible depuis tout appareil du réseau local
• Binaire su configuré sans authentification, accordant un accès root immédiat
• Pré-installation en usine d’applications malveillantes survivant aux réinitialisations d’usine
• Store applicatif personnalisé (appstore3) fonctionnant avec des privilèges système, installant silencieusement des APK via pm install sans interaction utilisateur
• Vulnérabilités applicatives créant des tunnels proxy-to-localhost similaires aux campagnes Kimwolf

🦠 Le SDK Popanet dans Cyberflix TV

L’application Cyberflix TV, disponible dans le store personnalisé SuperBox, embarque le SDK Popanet (package io.popanet, fichier classes3.dex). Dès son lancement, l’application initie un trafic volumétrique vers un serveur distant sur le port 6000, dont l’adresse est récupérée depuis lb.gmslb.net.

Le protocole Popanet repose sur :

• Une connexion TCP longue durée chiffrée TLS (SSLSocketFactory)
• Un protocole de messagerie propriétaire à 8 types de messages (REGISTER, REG_REPLY, PING, PONG, OPEN_TUNNEL, TUNNEL_STATUS, TUNNEL_MESSAGE, CLOSE_TUNNEL)
• Un format TLV (Type-Length-Value) pour l’encapsulation des données
• L’envoi de l’identité complète de l’appareil (UUID, modèle, OS, pays, ASN, opérateur) lors de l’enregistrement

🌐 Infrastructure C2 identifiée

Via Shodan et la télémétrie Plume, 255 adresses IP ont été identifiées derrière les domaines de l’infrastructure Popanet, incluant notamment :

• Domaines sous gmslb.net, adfuse-ssp.com, bcc-ssp.com, net-echo.com, pixellog.io, house-spirit.com, viki-play.com
• Adresse de fallback codée en dur : s1.gmslb.net:6000
• Serveur d’enregistrement avec URL hardcodée dans la classe Popa.Builder

⚠️ Bypass de protection réseau interne (0.0.0.0)

Le SDK Popanet implémente des vérifications basiques bloquant les plages RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) et le loopback (127.0.0.0/8), mais ne bloque pas l’adresse 0.0.0.0. Le noyau Linux route les connexions vers 0.0.0.0 vers l’interface loopback, permettant à un opérateur distant d’accéder aux services locaux de l’appareil, notamment ADB sur le port 5858.

📡 Trafic intercepté via le proxy

L’analyse du trafic transitant par les nœuds proxy a révélé :

• Vérifications répétées d’IP via des services de lookup (fingerprinting)
• Requêtes d’authentification sensibles : système de gestion de compte EA (Electronic Arts), codes de vérification WhatsApp
• Historique de recherche (Google, Bing) incluant des requêtes médicales et personnelles
• Contournement de WAF : interactions avec Cloudflare Challenge Platform et AWS WAF SDK
• Trafic HTTPS déchiffré par MitM en raison de l’absence de vérification des certificats SSL par les clients

📌 Type d’article

Il s’agit d’une publication de recherche technique (Part 1 d’une série) produite par Plume Security Labs, visant à documenter et exposer publiquement l’infrastructure proxy résidentielle cachée dans les appareils SuperBox et le SDK Popanet.

🧠 TTPs et IOCs détectés

TTP

• T1200 — Hardware Additions (Initial Access)
• T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
• T1546 — Event Triggered Execution (Persistence)
• T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1090.002 — Proxy: External Proxy (Command and Control)
• T1090.004 — Proxy: Domain Fronting (Command and Control)
• T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
• T1557 — Adversary-in-the-Middle (Collection)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1036 — Masquerading (Defense Evasion)
• T1082 — System Information Discovery (Discovery)
• T1016 — System Network Configuration Discovery (Discovery)

IOC

• IPv4 : 135.181.137.6 — AbuseIPDB · VT · ThreatFox
• IPv4 : 57.128.231.179 — AbuseIPDB · VT · ThreatFox
• IPv4 : 148.113.217.28 — AbuseIPDB · VT · ThreatFox
• IPv4 : 57.128.231.172 — AbuseIPDB · VT · ThreatFox
• IPv4 : 57.128.231.178 — AbuseIPDB · VT · ThreatFox
• IPv4 : 57.128.231.166 — AbuseIPDB · VT · ThreatFox
• IPv4 : 57.128.231.191 — AbuseIPDB · VT · ThreatFox
• IPv4 : 57.128.189.112 — AbuseIPDB · VT · ThreatFox
• IPv4 : 57.128.231.196 — AbuseIPDB · VT · ThreatFox
• IPv4 : 57.128.231.167 — AbuseIPDB · VT · ThreatFox
• IPv4 : 51.195.24.115 — AbuseIPDB · VT · ThreatFox
• IPv4 : 57.129.39.241 — AbuseIPDB · VT · ThreatFox
• IPv4 : 51.195.24.72 — AbuseIPDB · VT · ThreatFox
• IPv4 : 51.89.11.246 — AbuseIPDB · VT · ThreatFox
• IPv4 : 51.195.24.3 — AbuseIPDB · VT · ThreatFox
• IPv4 : 51.195.24.6 — AbuseIPDB · VT · ThreatFox
• IPv4 : 51.195.24.58 — AbuseIPDB · VT · ThreatFox
• Domaines : lb.gmslb.net — VT · URLhaus · ThreatFox
• Domaines : s1.gmslb.net — VT · URLhaus · ThreatFox
• Domaines : s1248.gmslb.net — VT · URLhaus · ThreatFox
• Domaines : s117.adfuse-ssp.com — VT · URLhaus · ThreatFox
• Domaines : s118.adfuse-ssp.com — VT · URLhaus · ThreatFox
• Domaines : s117.bcc-ssp.com — VT · URLhaus · ThreatFox
• Domaines : s120.bcc-ssp.com — VT · URLhaus · ThreatFox
• Domaines : s126.bcc-ssp.com — VT · URLhaus · ThreatFox
• Domaines : s127.bcc-ssp.com — VT · URLhaus · ThreatFox
• Domaines : s1244.net-echo.com — VT · URLhaus · ThreatFox
• Domaines : s1256.net-echo.com — VT · URLhaus · ThreatFox
• Domaines : s1244.pixellog.io — VT · URLhaus · ThreatFox
• Domaines : s1248.house-spirit.com — VT · URLhaus · ThreatFox
• Domaines : s1807.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1808.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1810.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1812.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1814.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1816.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1818.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1820.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1822.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1824.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1826.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1828.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1830.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1832.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1834.viki-play.com — VT · URLhaus · ThreatFox
• Domaines : s1836.viki-play.com — VT · URLhaus · ThreatFox
• Fichiers : appstore3.apk
• Fichiers : payload.apk
• Fichiers : classes3.dex

Malware / Outils

• Popanet SDK (other)
• Cyberflix TV (other)
• appstore3 (other)
• Vo1d botnet (botnet)
• Kimwolf botnet (botnet)

🟡 Indice de vérification factuelle : 58/100 (moyenne)

• ⬜ plume.com — source non référencée (0pts)
• ✅ 30689 chars — texte complet (fulltext extrait) (15pts)
• ✅ 49 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 1/6 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (8pts)
• ✅ 14 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 148.113.217.28 (ip) → AbuseIPDB (67% confiance, 19 signalements)

🔗 Source originale : https://www.plume.com/newsroom/plume-security-labs-exposes-hidden-proxy-network-inside-superbox-devices