La empresa tecnológica anunció la interrupción de una infraestructura global que había convertido millones de dispositivos comunes en nodos de una red que ocultaba actividades maliciosas de más de 550 grupos de amenazas.
Google Threat Intelligence Group (GTIG) anunció recientemente la interrupción de IPIDEA, considerada una de las redes proxy residenciales más grandes del mundo, y que operaba mediante la transformación oculta de millones de dispositivos de consumidores en nodos de salida para tráfico malicioso. Esta infraestructura era utilizada por una amplia gama de actores maliciosos, desde ciberdelincuentes hasta grupos con presuntos vínculos con gobiernos extranjeros, para ocultar sus actividades en internet y burlar defensas de seguridad.
Tal como lo explica el informe publicado por el GTIC, las redes proxy residenciales permiten que el tráfico de internet pase por direcciones IP de usuarios comunes (como computadoras, teléfonos o enrutadores domésticos) para camuflar el origen real de las conexiones. En el caso de IPIDEA, estas conexiones eran aprovechadas para ejecutar ataques de fuerza bruta contra contraseñas, automatizar bots, robo de credenciales, ataques DDoS y accesos no autorizados a servicios corporativos en la nube, entre otras prácticas maliciosas.
Según explicaron los investigadores de GTIG, la red de IPIDEA se sustentaba en software development kits (SDK) maliciosos integrados en aplicaciones que se distribuían como herramientas legítimas o servicios de VPN gratuitos. Cuando los usuarios instalaban estas apps, sus dispositivos eran inscritos en la red proxy sin su conocimiento ni consentimiento, convirtiéndose en parte de la infraestructura de ocultamiento utilizada por los atacantes.
La operación para desmantelar IPIDEA incluyó varias acciones coordinadas, entre ellas, la ejecución de medidas legales para confiscar dominios utilizados para el control y la promoción del servicio, compartir inteligencia técnica con socios de la industria y autoridades, así como actualizaciones en Google Play Protect para detectar y eliminar las aplicaciones que contenían código vinculado a IPIDEA de dispositivos Android certificados.
En total, Google identificó más de 600 aplicaciones para Android y más de 3 mil archivos binarios maliciosos para Windows que se conectaban a la infraestructura de comando y control de IPIDEA, lo que revela la escala de la operación y la sofisticación de los mecanismos de distribución.
En su reporte, la empresa afirma que sus “acciones han causado una degradación significativa de la red proxy de IPIDEA y de sus operaciones comerciales, reduciendo el número de dispositivos disponibles para los operadores por millones”. Además, debido a los acuerdos de revendedor comunes en este tipo de servicios, este impacto podría extenderse a otras entidades que compartían recursos de proxy con IPIDEA.
Entre los grupos que se aprovechaban del uso de IPIDEA se encontraban cientos de actores rastreados por investigadores, incluidas grupos vinculados a China, Rusia, Irán y Corea del Norte, evidenciando que las redes proxy residenciales no solo son una herramienta para delitos comunes, sino que también pueden facilitar ciberespionaje y operaciones avanzadas persistentes.