Google el miércoles anunciado que trabajó junto con otros socios para desbaratar IPIDEA, a la que describió como una de las redes de proxy residenciales más grandes del mundo.

Con ese fin, la empresa dijo que había emprendido acciones legales para eliminar docenas de dominios utilizados para controlar los dispositivos y el tráfico de proxy a través de ellos. En el momento de redactar este informe, el sitio web de IPIDEA («www.ipidea.io») ya no es accesible. Se promocionaba como el «proveedor líder mundial de proxy IP», con más de 6,1 millones de direcciones IP actualizadas diariamente y 69 000 direcciones IP nuevas cada día.

«Las redes proxy residenciales se han convertido en una herramienta omnipresente para todo, desde el espionaje de alto nivel hasta los planes delictivos masivos», dijo John Hultquist, analista jefe de Google Threat Intelligence Group (GTIG), en un comunicado compartido con The Hacker News.

«Al dirigir el tráfico a través de la conexión a Internet doméstica de una persona, los atacantes pueden ocultarse a plena vista mientras se infiltran en los entornos corporativos. Al desmantelar la infraestructura utilizada para hacer funcionar la red IPIDEA, hemos conseguido poner fin a un mercado global que vendía el acceso a millones de dispositivos de consumo secuestrados».

Google dijo que, tan recientemente como este mes, más de 550 grupos de amenazas individuales con diferentes motivaciones, como la ciberdelincuencia, el espionaje, las amenazas persistentes avanzadas (APT) y las operaciones de información de todo el mundo, incluidos China, Corea del Norte, Irán y Rusia, han aprovechado la infraestructura de proxy de IPIDEA. Estas actividades abarcaban desde el acceso a los entornos de SaaS de las víctimas hasta la infraestructura local y los ataques mediante el uso de contraseñas mediante la introducción de contraseñas por correo electrónico.

En un análisis publicado a principios de este mes, Synthient revelada que los actores de amenazas detrás del Red de bots Aisuru/KimWolf estaban abusando de las fallas de seguridad en los servicios de proxy residenciales, como IPIDEA, para transmitir comandos maliciosos a dispositivos vulnerables de Internet de las Cosas (IoT) detrás de un firewall dentro de las redes locales para propagar el malware.

El malware que convierte los dispositivos de los consumidores en terminales proxy se incluye sigilosamente en aplicaciones y juegos preinstalados en las cajas de streaming de Android TV que no son de marca. Esto obliga al dispositivo infectado a retransmitir tráfico malintencionado y a participar en ataques de denegación de servicio distribuidos (DDoS).

También se dice que IPIDEA lanzó aplicaciones independientes, comercializadas directamente para personas que buscan ganar «dinero fácil» anunciando descaradamente que pagarán a los consumidores para que instalen la aplicación y les permitan utilizar su «ancho de banda no utilizado».

Si bien las redes proxy residenciales ofrecen la posibilidad de enrutar el tráfico a través de direcciones IP propiedad de los proveedores de servicios de Internet (ISP), también pueden proporcionar la cobertura perfecta para los delincuentes que buscan enmascarar el origen de su actividad maliciosa.

«Para ello, los operadores de redes proxy residenciales necesitan un código que se ejecute en los dispositivos de los consumidores para inscribirlos en la red como nodos de salida», explicó GTIG. «Estos dispositivos vienen precargados con un software proxy o se conectan a la red proxy cuando los usuarios descargan sin saberlo aplicaciones troyanas con código proxy incorporado. Es posible que algunos usuarios instalen este software en sus dispositivos a sabiendas, con la promesa de «monetizar» su ancho de banda sobrante».

El equipo de inteligencia de amenazas del gigante tecnológico dijo que IPIDEA se ha hecho famosa por su papel a la hora de facilitar una serie de botnets, incluida la China basado BADBOX 2.0 . En julio de 2025, Google presentó una demanda contra 25 personas o entidades anónimas en China por supuestamente operar la botnet y su infraestructura de proxy residencial asociada.

También señaló que las aplicaciones proxy de IPIDEA no solo dirigían el tráfico a través del dispositivo del nodo de salida, sino que también enviaban tráfico al dispositivo con el objetivo de comprometerlo, lo que planteaba graves riesgos para los consumidores cuyos dispositivos pudieran haberse unido a la red proxy, a sabiendas o sin saberlo.

La red proxy que alimenta a IPIDEA no es una entidad monolítica. Más bien, es una colección de múltiples marcas de proxy residenciales conocidas bajo su control -

  • Ípidea (ípidea [.] io)
  • 360 Proxy (360proxy [.] com)
  • 922 Proxy (922proxy [.] com)
  • Proxy ABC (abcproxy [.] com)
  • Cherry Proxy (cherryproxy [.] com)
  • VPN de puerta (doorvpn [.] com)
  • Galleon VPN (galleonvpn [.] com)
  • Mundo IP 2 (ip2world [.] com)
  • Luna Proxy (lunaproxy [.] com)
  • Proxy PIA S5 (piaproxy [.] com)
  • Proxy PY (pyproxy [.] com)
  • Radish VPN (radishvpn [.] com)
  • Tab Proxy (tabproxy [.] com)

«Los mismos actores que controlan estas marcas también controlan varios dominios relacionados con los kits de desarrollo de software (SDK) para proxies residenciales», afirma Google. «Estos SDK no están diseñados para instalarse o ejecutarse como aplicaciones independientes, sino que están diseñados para integrarse en las aplicaciones existentes».

Estos SDK se comercializan para desarrolladores externos como una forma de monetizar sus aplicaciones de Android, Windows, iOS y webOS. IPIDEA paga por descarga a los desarrolladores que integran los SDK en sus aplicaciones. Esto, a su vez, transforma un dispositivo que instala estas aplicaciones en un nodo para la red proxy y, al mismo tiempo, proporciona la funcionalidad anunciada. Los nombres de los SDK controlados por los actores de IPIDEA se enumeran a continuación:

  • Castar SDK (castarsdk [.] com)
  • Obtenga el SDK (earnsdk [.] io)
  • Hex SDK (hexsdk [.] com)
  • SDK de paquetes (packetsdk [.] com)

Los SDK tienen superposiciones significativas en su infraestructura de comando y control (C2) y en su estructura de código. Siguen un sistema C2 de dos niveles en el que los dispositivos infectados contactan con un servidor de nivel uno para recuperar un conjunto de nodos de nivel dos a los que conectarse. A continuación, la aplicación inicia la comunicación con el servidor de nivel 2 para buscar periódicamente cargas útiles que puedan pasar por proxy a través del dispositivo. El análisis de Google reveló que hay alrededor de 7.400 servidores de nivel 2.

Además de los servicios de proxy, se ha descubierto que los actores de IPIDEA controlan dominios que ofrecen herramientas de red privada virtual (VPN) gratuitas, que también están diseñadas para unirse a la red de proxy como un nodo de salida que incorpora el SDK hexadecimal o de paquetes. Los nombres de los servicios de VPN son los siguientes:

  • Galleon VPN (galleonvpn [.] com)
  • Radish VPN (radishvpn [.] com
  • Aman VPN (extinta)

Además, GTIG dijo que identificó 3.075 archivos binarios únicos de Windows que enviaron una solicitud a al menos un dominio de primer nivel, algunos de los cuales se hicieron pasar por OneDriveSync y Windows Update. Estas aplicaciones de Windows troyanizadas no fueron distribuidas directamente por los actores de IPIDEA. Se han marcado hasta 600 aplicaciones Android (que incluyen utilidades, juegos y contenido) de varias fuentes de descarga por contener código que conecta con dominios C2 de primer nivel mediante el uso de los SDK de monetización para habilitar el comportamiento de proxy.

En un declaración compartido con The Wall Street Journal, un portavoz de la empresa china dijo que había llevado a cabo «estrategias de expansión del mercado relativamente agresivas» y que «había llevado a cabo actividades de promoción en lugares inapropiados (por ejemplo, foros de hackers)» y que «se había opuesto explícitamente a cualquier forma de conducta ilegal o abusiva».

Para contrarrestar la amenaza, Google dijo que actualizó Google Play Protect para advertir automáticamente a los usuarios sobre las aplicaciones que contienen el código IPIDEA. En el caso de los dispositivos Android certificados, el sistema eliminará automáticamente estas aplicaciones maliciosas y bloqueará cualquier intento futuro de instalarlas.

«Si bien los proveedores de proxy pueden alegar ignorancia o cerrar estas brechas de seguridad cuando se les notifica, la aplicación y la verificación son un desafío debido a las estructuras de propiedad, los acuerdos de distribución y la diversidad de aplicaciones intencionalmente turbias», afirma Google.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.