🕵️ Contexte

Rapport publié le 8 juillet 2026 par Infoblox, relayé par Cyber Security News et Cryptika. L’analyse documente une opération cybercriminelle active depuis au moins août 2022, attribuée au groupe Lurking Lizard, dont l’origine est présumée chinoise sur la base des données d’enregistrement de domaines.

🎯 Mode opératoire

Lurking Lizard opère un écosystème complet de proxy résidentiel frauduleux :

  • Utilisation de la technique drop-catching : acquisition de domaines expirés ayant hérité d’une réputation SEO accidentelle (ex. 7zip[.]com, référencé par erreur dans des forums pendant des années)
  • Distribution de faux installeurs se substituant à des logiciels légitimes (7-Zip, outils de téléchargement TikTok/YouTube)
  • Un lien IPLogger hardcodé dans les samples de malware a permis de relier l’ensemble des campagnes entre elles
  • Les victimes installent un logiciel proxy caché qui loue leur connexion internet à des clients payants sans leur consentement

📦 Infrastructure et échelle

  • Plus de 230 domaines identifiés, couvrant faux VPN, faux outils de téléchargement, faux sites de revue de proxy
  • Au moins 7 domaines drop-catch liés au même acteur, certains enregistrés dès 2004
  • Connexions établies via : enregistrements WHOIS partagés, codes de tracking identiques, structures de serveurs backend communes

📱 Évolution vers WireVPN

L’opération a évolué sous le nom WireVPN, disponible sur Apple App Store et Google Play, avec plus d’un million de téléchargements sur Android. Les tests ont révélé que l’application contacte un grand nombre d’adresses IP non liées et ouvre de multiples connexions simultanées, comportement cohérent avec un nœud de sortie proxy plutôt qu’un vrai VPN. Les applications utilisent des certificats de signature de code valides issus de sociétés enregistrées.

🗂️ Type d’article

Publication de recherche / analyse de menace produite par Infoblox, visant à documenter et attribuer une opération cybercriminelle de grande envergure liée aux réseaux de proxy résidentiel frauduleux.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Lurking Lizard (cybercriminal) —

TTP

  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
  • T1102 — Web Service (Command and Control)
  • T1090.002 — Proxy: External Proxy (Command and Control)
  • T1204.002 — User Execution: Malicious File (Execution)

IOC

Malware / Outils

  • hero.exe (other)
  • wire.exe (other)
  • WireVPN (other)

🟢 Indice de vérification factuelle : 83/100 (haute)

  • ✅ cryptika.com — source reconnue (Rösti community) (20pts)
  • ✅ 6631 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 24 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 1/4 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Lurking Lizard (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 7zip.com (domain) → VT (16/91 détections)

🔗 Source originale : https://www.cryptika.com/lurking-lizard-uses-fake-7-zip-installers-to-turn-victim-devices-into-proxy-nodes/