Da anni i gruppi di cybercrime cercano di mascherare il proprio traffico facendolo apparire come quello di comuni abitazioni o piccole aziende, sfruttando reti di proxy residenziali che instradano le connessioni attraverso dispositivi di utenti ignari. È una strategia semplice ma estremamente potente, visto che se un attacco proviene da un IP domestico i sistemi di difesa tendono a fidarsi. Proprio su questo terreno si muove IPIDEA, una rete che Google sostiene di aver recentemente colpito in modo significativo.

Secondo il Threat Intelligence Group di Google (GTIG), IPIDEA rappresenta una componente poco visibile ma centrale dell’ecosistema digitale sommerso. In una sola settimana di gennaio, più di 550 gruppi di cybercriminali avrebbero utilizzato nodi di uscita riconducibili a questa infrastruttura. Un dato che, da solo, basta a spiegare perché l’intervento abbia attirato l’attenzione di Google di fronte a un mercato globale che offriva accesso a milioni di dispositivi reali, distribuiti soprattutto tra Stati Uniti, Canada ed Europa.

Il funzionamento di queste reti è tanto banale quanto inquietante. Gli operatori dei proxy residenziali stringono accordi con sviluppatori di app, pagando per integrare SDK che, una volta installati sullo smartphone o sul PC dell’utente, arruolano automaticamente il dispositivo nella rete. In altri casi, il software viene distribuito direttamente, presentato come un modo “legittimo” per monetizzare la banda inutilizzata. Il risultato è lo stesso: il traffico di terzi passa attraverso connessioni domestiche, trasformando smartphone e computer comuni in punti di uscita per attività che vanno dalla frode all’intrusione mirata.

Google sottolinea come il problema non sia limitato al mascheramento del traffico malevolo. Gli utenti che, consapevolmente o meno, entrano a far parte di queste reti espongono infatti se stessi a rischi aggiuntivi. Un dispositivo usato come proxy diventa così un trampolino per ulteriori compromissioni, inclusi attacchi laterali verso altri asset presenti nella stessa rete domestica. In pratica, l’illusione di guadagnare qualche euro con la propria connessione può trasformarsi in una porta aperta verso infezioni ben più gravi.

google proxy

Pubblicità di PacketSDK, parte della rete proxy IPIDEA

L’analisi condotta da GTIG, in collaborazione con partner industriali come Spur e Black Lotus Labs di Lumen, ha permesso di stimare la portata di IPIDEA come rete composta da milioni di dispositivi coinvolti, tra smartphone, PC Windows e altro hardware consumer. Un aspetto particolarmente rilevante è che, in diversi casi, gli operatori di IPIDEA sembrano aver mantenuto un controllo diretto sugli SDK integrati nelle app, riducendo ulteriormente la distanza tra infrastruttura di proxy e gestione attiva dei nodi compromessi.

C’è però di più. IPIDEA non si limitava infatti a fornire anonimato ai criminali, ma alcuni dei dispositivi arruolati nella rete proxy sono stati collegati anche a botnet di grandi dimensioni come BadBox 2.0, Aisuru e Kimwolf. Questo intreccio tra servizi di “accesso” e reti di comando e controllo dimostra quanto il confine tra proxy residenziale e botnet sia spesso puramente semantico.

L’intervento di Google non viene descritto come uno smantellamento completo, ma come una degradazione significativa dell’infrastruttura. Cloudflare ha collaborato per interrompere la risoluzione dei domini associati a IPIDEA, mentre l’analisi congiunta ha avuto l’obiettivo di generare effetti a cascata sull’intero ecosistema di operatori e rivenditori collegati. Ridurre di milioni il bacino di dispositivi disponibili significa colpire il modello economico alla base del servizio, rendendolo meno affidabile e meno appetibile.

È comunque importante chiarire un punto spesso frainteso. I proxy residenziali, di per sé, non sono illegali, venendo anzi promossi come strumenti per la tutela della privacy o per aggirare censure geografiche. Tuttavia, i dati raccolti dai ricercatori indicano che il loro utilizzo è sproporzionatamente concentrato in attività malevole.

John Hultquist, chief analyst di GTIG, ha sintetizzato il problema con una formula efficace: “instradare il traffico attraverso connessioni domestiche consente agli attaccanti di nascondersi in piena vista mentre penetrano ambienti aziendali. Smantellare, o anche solo indebolire, l’infrastruttura che rende possibile questo mercato significa togliere il terreno sotto i piedi a un’intera filiera criminale globale”.

(Immagine in apertura: Shutterstock)