Lurking Lizard : faux installeurs 7-Zip et WireVPN pour transformer les victimes en nœuds proxy
🕵️ Contexte Rapport publié le 8 juillet 2026 par Infoblox, relayé par Cyber Security News et Cryptika. L’analyse documente une opération cybercriminelle active depuis au moins août 2022, attribuée au groupe Lurking Lizard, dont l’origine est présumée chinoise sur la base des données d’enregistrement de domaines. 🎯 Mode opératoire Lurking Lizard opère un écosystème complet de proxy résidentiel frauduleux : Utilisation de la technique drop-catching : acquisition de domaines expirés ayant hérité d’une réputation SEO accidentelle (ex. 7zip[.]com, référencé par erreur dans des forums pendant des années) Distribution de faux installeurs se substituant à des logiciels légitimes (7-Zip, outils de téléchargement TikTok/YouTube) Un lien IPLogger hardcodé dans les samples de malware a permis de relier l’ensemble des campagnes entre elles Les victimes installent un logiciel proxy caché qui loue leur connexion internet à des clients payants sans leur consentement 📦 Infrastructure et échelle Plus de 230 domaines identifiés, couvrant faux VPN, faux outils de téléchargement, faux sites de revue de proxy Au moins 7 domaines drop-catch liés au même acteur, certains enregistrés dès 2004 Connexions établies via : enregistrements WHOIS partagés, codes de tracking identiques, structures de serveurs backend communes 📱 Évolution vers WireVPN L’opération a évolué sous le nom WireVPN, disponible sur Apple App Store et Google Play, avec plus d’un million de téléchargements sur Android. Les tests ont révélé que l’application contacte un grand nombre d’adresses IP non liées et ouvre de multiples connexions simultanées, comportement cohérent avec un nœud de sortie proxy plutôt qu’un vrai VPN. Les applications utilisent des certificats de signature de code valides issus de sociétés enregistrées. ...