Google威脅情報團(tuán)隊近日聯(lián)合多家合作伙伴，對被認(rèn)為是全球最大住宅代理網(wǎng)絡(luò)之一的 IPIDEA 生態(tài)發(fā)起行動，重創(chuàng)其代理基礎(chǔ)設(shè)施和商業(yè)運(yùn)營，預(yù)計已使該網(wǎng)絡(luò)可利用的設(shè)備數(shù)量減少數(shù)百萬臺。 由于住宅代理運(yùn)營商之間普遍存在轉(zhuǎn)售與合作關(guān)系，此次行動被認(rèn)為還將對關(guān)聯(lián)代理品牌和上下游黑灰產(chǎn)業(yè)鏈造成連鎖影響。

Google表示，本次行動圍繞三項措施展開：一是通過法律手段拆除用于控制受感染設(shè)備和中轉(zhuǎn)代理流量的指揮與控制（C2）域名；二是將調(diào)查過程中發(fā)現(xiàn)的 IPIDEA 軟件開發(fā)工具包（SDK）及代理軟件的技術(shù)情報共享給平臺服務(wù)商、執(zhí)法機(jī)構(gòu)和安全研究機(jī)構(gòu)，以推動整個生態(tài)內(nèi)的識別和清理；三是強(qiáng)化 Android 平臺防護(hù)，確保 Google Play Protect 能自動警示并卸載已知集成 IPIDEA SDK 的應(yīng)用，并阻止此類應(yīng)用的未來安裝嘗試。

所謂住宅代理網(wǎng)絡(luò)，是指向客戶出售通過普通家庭或小型企業(yè)寬帶出口轉(zhuǎn)發(fā)流量的服務(wù)，其 IP 地址由各國運(yùn)營商分配給終端用戶，而非傳統(tǒng)數(shù)據(jù)中心機(jī)房。 通過在全球范圍內(nèi)控制并“出租”大量居民寬帶出口，攻擊者可以將惡意活動偽裝成普通用戶行為，給網(wǎng)絡(luò)防御帶來極大困難，尤其是來自美國、加拿大和歐洲等地區(qū)的住宅 IP 更為搶手。 為構(gòu)建這樣一張網(wǎng)絡(luò)，運(yùn)營方需要在海量用戶設(shè)備上運(yùn)行特定代碼，使其悄然加入代理網(wǎng)絡(luò)，成為所謂“出口節(jié)點(diǎn)”。

Google威脅情報團(tuán)隊的研究顯示，IPIDEA 相關(guān)代理服務(wù)在現(xiàn)實(shí)中被廣泛濫用，其 SDK 曾為多種僵尸網(wǎng)絡(luò)擴(kuò)容設(shè)備，其代理軟件又被不法分子用于遠(yuǎn)程控制這些僵尸網(wǎng)絡(luò)。 Google稱，此前他們已對 BadBox2.0 僵尸網(wǎng)絡(luò)提起訴訟，而近期活動活躍的 Aisuru、Kimwolf 等僵尸網(wǎng)絡(luò)同樣大量利用 IPIDEA 生態(tài)。 在 2026 年 1 月短短七天內(nèi)，Google共觀察到超過 550 個威脅團(tuán)伙使用被標(biāo)記為 IPIDEA 出口節(jié)點(diǎn)的 IP 地址隱匿行動，其中包括來自中國、朝鮮、伊朗和俄羅斯的間諜和犯罪組織，其活動涉及訪問受害者的 SaaS 環(huán)境、本地基礎(chǔ)設(shè)施以及大規(guī)模密碼噴射攻擊等。

研究還發(fā)現(xiàn)，大量住宅代理出口節(jié)點(diǎn)的 IP 存在顯著重疊，推測是由于代理服務(wù)之間的轉(zhuǎn)售和合作協(xié)議，使得對單一品牌的打擊難以簡單按品牌邊界精確量化和歸因。 此外，住宅代理不僅威脅組織安全，也給普通用戶帶來風(fēng)險：一旦設(shè)備加入此類網(wǎng)絡(luò)，其 IP 地址及本地網(wǎng)絡(luò)將被用作黑客活動的跳板，用戶可能因異常流量而被各類服務(wù)標(biāo)記或封禁。 相關(guān)代理程序還會在設(shè)備和家庭網(wǎng)絡(luò)中引入安全漏洞，當(dāng)設(shè)備被用作出口節(jié)點(diǎn)時，攻擊者可以借由代理隧道訪問同一局域網(wǎng)中的其他私人設(shè)備，從而將原本封閉的家庭網(wǎng)絡(luò)暴露給互聯(lián)網(wǎng)。

Google的分析發(fā)現(xiàn)，市面上一批看似互不相干的住宅代理或 VPN 品牌，實(shí)際上與 IPIDEA 由同一批運(yùn)營者控制。 其中包括 360 Proxy、922 Proxy、ABC Proxy、Cherry Proxy、Door VPN、Galleon VPN、IP 2 World、Ipidea、Luna Proxy、PIA S5 Proxy、PY Proxy、Radish VPN、Tab Proxy 等多個品牌域名。 同一運(yùn)營方還掌控了一系列與住宅代理 SDK 相關(guān)的域名，這些 SDK 并非面向終端用戶，而是面向應(yīng)用開發(fā)者進(jìn)行嵌入，聲稱可幫助開發(fā)者通過“流量變現(xiàn)”等方式獲利，并提供 Android、Windows、iOS 和 WebOS 等多平臺支持。 在開發(fā)者將這些 SDK 集成到其應(yīng)用后，IPIDEA 會按下載量等指標(biāo)向開發(fā)者支付費(fèi)用。

一旦 SDK 被嵌入應(yīng)用，安裝該應(yīng)用的設(shè)備就會在提供原有功能的同時，悄然被變成代理網(wǎng)絡(luò)的出口節(jié)點(diǎn)，為運(yùn)營者提供維持龐大住宅代理網(wǎng)絡(luò)所需的大量終端設(shè)備。 雖然不少住宅代理服務(wù)聲稱其 IP 來源“合法合規(guī)”，但Google調(diào)查發(fā)現(xiàn)，這類說法往往夸大甚至與事實(shí)不符，許多含惡意代理代碼的應(yīng)用并未向用戶明確披露其會將設(shè)備加入 IPIDEA 網(wǎng)絡(luò)。 安全研究人員此前也在未經(jīng)認(rèn)證或貼牌的 Android 機(jī)頂盒等設(shè)備上發(fā)現(xiàn)隱藏的住宅代理載荷。

在技術(shù)層面，Google對嵌入 SDK 代碼的第三方軟件以及 SDK 自身進(jìn)行了靜態(tài)和動態(tài)分析，試圖還原其指揮與控制基礎(chǔ)設(shè)施結(jié)構(gòu)。 分析顯示，EarnSDK、PacketSDK、CastarSDK 和 HexSDK 在 C2 基礎(chǔ)設(shè)施和代碼結(jié)構(gòu)上高度重疊，整體采用兩層式架構(gòu)。 第一層中，設(shè)備啟動后會從預(yù)設(shè)的多個域名中選擇一處連接，向服務(wù)器發(fā)送設(shè)備診斷信息，并獲知可供連接的第二層節(jié)點(diǎn) IP；第二層中，客戶端定期輪詢這些 IP 的特定端口以獲取代理任務(wù)，一旦接到任務(wù)，就與對應(yīng)的代理端口建立專用連接，對收到的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)。

在具體實(shí)現(xiàn)上，第一層通信中，設(shè)備信息通過 HTTP GET 查詢參數(shù)或 POST 請求體上報，其中包含可能用于結(jié)算分成的“key”字段，服務(wù)器響應(yīng)則返回輪詢間隔、心跳時間及若干第二層節(jié)點(diǎn) IP 配置。 第二層通信則使用純 IP 地址和不同端口構(gòu)成的“connect / proxy”對：前者用于發(fā)送帶編碼 JSON 負(fù)載的 TCP 輪詢包，后者用于在分配到任務(wù)后接收真實(shí)業(yè)務(wù)流量并轉(zhuǎn)發(fā)至目標(biāo)完全限定域名（FQDN）。 設(shè)備會根據(jù)任務(wù)中的連接 ID 建立與代理端口的會話，并將收到的數(shù)據(jù)原樣轉(zhuǎn)發(fā)給任務(wù)指定的外部目標(biāo)，從而在用戶不知情的情況下完成代理鏈路搭建。

進(jìn)一步的基礎(chǔ)設(shè)施關(guān)聯(lián)分析顯示，不同 SDK 雖然各自使用不同的第一層域名，但其背后共享同一批第二層服務(wù)器池。 Google在分析各類惡意樣本和 SDK 時發(fā)現(xiàn)，截至撰文時約有 7400 臺第二層服務(wù)器分布在全球各地，數(shù)量隨需求動態(tài)變化，包括部分部署在美國本土的節(jié)點(diǎn)。 這說明盡管對外包裝和域名品牌各異，IPIDEA 旗下多個 SDK 實(shí)際依托同一套后端基礎(chǔ)設(shè)施運(yùn)營代理業(yè)務(wù)。

在傳播途徑方面，IPIDEA 運(yùn)營者旗下還控制多個提供免費(fèi) VPN 服務(wù)的域名，相應(yīng)應(yīng)用表面提供 VPN 功能，實(shí)際上暗藏 Hex 或 Packet SDK，將用戶設(shè)備在未充分告知的情況下接入 IPIDEA 代理網(wǎng)絡(luò)。 此外，Google共識別出 3075 個在動態(tài)分析中對第一層域名發(fā)起 DNS 請求的 Windows 可執(zhí)行文件，其中包括用于將終端變?yōu)槌隹诠?jié)點(diǎn)的 PacketShare 程序，以及偽裝成 OneDriveSync、Windows Update 的“李鬼”應(yīng)用，且這些木馬并非由 IPIDEA 官方直接分發(fā)。 在 Android 生態(tài)中，Google發(fā)現(xiàn)超過 600 款跨不同下載渠道分發(fā)的應(yīng)用含有連接至第一層 C2 域名的代碼，這些應(yīng)用表面功能多為工具、游戲和內(nèi)容類，但內(nèi)置了具備 IPIDEA 代理行為的變現(xiàn) SDK。

為全面拆除 IPIDEA 的基礎(chǔ)設(shè)施，Google本周采取了一系列協(xié)同行動。 在保護(hù)設(shè)備層面，Google通過法律程序打擊用于控制受感染設(shè)備和轉(zhuǎn)發(fā)流量的 C2 域名，從源頭削弱代理網(wǎng)絡(luò)的控制能力，同時在 Android 生態(tài)中依據(jù)平臺政策對隱藏代理代碼的“投毒”應(yīng)用采取執(zhí)法措施，依托 Google Play Protect 自動識別、提示并移除集成 IPIDEA SDK 的應(yīng)用，并阻止未來安裝。 在限制分發(fā)方面，Google還對用于推廣 IPIDEA 及其各代理品牌的軟件、SDK 等營銷站點(diǎn)域名發(fā)起法律行動，阻斷其獲客和擴(kuò)張渠道。

Google還強(qiáng)調(diào)，本次行動離不開行業(yè)伙伴的配合和情報共享。 為幫助其他機(jī)構(gòu)采取相應(yīng)措施，Google向包括 Spur、Lumen 旗下 Black Lotus Labs 在內(nèi)的多家安全公司共享了研究成果，共同梳理住宅代理網(wǎng)絡(luò)的規(guī)模和其所助長的惡意活動類型。 Google同時與 Cloudflare 合作，對 IPIDEA 相關(guān)域名解析進(jìn)行干預(yù)，進(jìn)一步削弱其下發(fā)指令和推廣產(chǎn)品的能力。

盡管Google認(rèn)為此次行動已對這一大型住宅代理提供商造成嚴(yán)重打擊，但其也警告稱，該行業(yè)整體仍在迅速擴(kuò)張，且不同提供商之間存在廣泛重疊，使住宅代理逐漸演變?yōu)橐粋€依賴欺瞞的“灰色市場”，通過劫持消費(fèi)者帶寬為全球間諜和網(wǎng)絡(luò)犯罪活動提供隱身通道。 為此，Google呼吁業(yè)界、監(jiān)管和用戶多方共同行動，加強(qiáng)對住宅代理技術(shù)風(fēng)險的研究和防控。

在用戶層面，Google呼吁消費(fèi)者對宣稱可以通過“分享閑置帶寬”“出租網(wǎng)絡(luò)”獲得報酬的應(yīng)用保持高度警惕，因為這類應(yīng)用往往是非法代理網(wǎng)絡(luò)擴(kuò)容的主要渠道，會在不知不覺中為家庭網(wǎng)絡(luò)打開新的攻擊入口。 Google建議用戶盡量通過官方應(yīng)用商店獲取軟件，審慎審核第三方 VPN 和代理應(yīng)用的權(quán)限，確保 Google Play Protect 等內(nèi)置安全防護(hù)處于開啟狀態(tài)。 在購買機(jī)頂盒等聯(lián)網(wǎng)設(shè)備時，用戶也應(yīng)優(yōu)先選擇信譽(yù)良好的品牌；例如，用戶可通過 Android TV 官方網(wǎng)站查詢支持官方 Android TV OS 并通過 Play Protect 認(rèn)證的設(shè)備名單，并參考Google提供的步驟檢查手中的 Android 設(shè)備是否已通過 Play Protect 認(rèn)證。

在政策和行業(yè)治理方面，Google指出，住宅代理服務(wù)長期打著“合法業(yè)務(wù)”的旗號發(fā)展壯大，但若要聲稱“倫理來源”“用戶自愿”，必須拿出透明、可審計的用戶同意證據(jù)。 同時，應(yīng)用開發(fā)者也應(yīng)對自身集成的變現(xiàn) SDK 負(fù)起審查責(zé)任，避免在不知情或誘導(dǎo)情況下將用戶設(shè)備納入高風(fēng)險代理網(wǎng)絡(luò)。 Google呼吁移動平臺、運(yùn)營商和其他科技平臺持續(xù)加強(qiáng)情報共享，落實(shí)最佳實(shí)踐，識別并遏制非法代理網(wǎng)絡(luò)的危害。

為協(xié)助更廣泛的安全社區(qū)開展溯源和檢測，Google在 VirusTotal 的 GTI Collection 中向注冊用戶提供了與本次行動相關(guān)的全面威脅指標(biāo)（IOCs），包括大量用于 C2 的可疑域名、證書簽名信息以及涵蓋 DLL、APK、EXE 等多種文件類型的樣本哈希值，供安全團(tuán)隊用于獵殺和封堵相關(guān)活動。