Google威胁情报小组（Google Threat Intelligence Group，GTIG）昨日（1/29）宣布协同合作伙伴，捣毁了曾助长Aisuru/Kimwolf僵尸网络的全球最大住宅型代理网络IPIDEA。

住宅型代理网络是通过软件和网络协议，将大量家用电脑、手机或物联网设备串联起来，这些设备在用户不知情的情况下共享带宽，形成一个IP池（pool），并可由单一住宅IP作为对外出口。通过这个网络发出的流量，从外部看就像是来自该住宅IP的正常流量。

住宅型代理网络的流量行为模式类似真人，可用于网站可用性测试、市场调研或广告分析等合法用途，但一旦被滥用，可能被用于刷票、绕过地域限制、隐藏攻击源等灰色或非法行为。

Google指出，IPIDEA的代理基础设施是数字生态系统中鲜为人知的一环，被广泛用于各类非法活动。其运作原理是在用户的家用设备如电脑、手机或路由器上植入恶意软件，使其成为代理节点，而用户对自身带宽被共享、设备被用作代理毫不知情。

Google威胁情报小组表示，此次行动包含三个部分：一是通过法律途径封禁用于控制家用设备和转发流量的域名；二是将发现的IPIDEA软件开发工具包（SDK）及代理软件分享给平台供应商、执法机构和研究单位。SDK的作用是将用户设备纳入IPIDEA网络；三是通过Android内置安全防护方案Google Play Protect自动检测、警告或移除含有相关SDK的Android应用，防止再次感染。

此次行动摧毁了IPIDEA的部分网络基础设施，削弱了数百万代理运营商可用的设备池。由于这些代理运营商通过分销协议共享这些IP池，Google认为此次行动将对下游关联方造成连锁影响。

IPIDEA的网络基础设施因助长黑客攻击而臭名昭著。其SDK被用于将用户设备纳入僵尸网络，其代理服务器软件则被用于操控流量。许多僵尸网络都与其有关，包括BadBox2.0以及近期的Aisuru和Kimwolf。2026年1月，Google观察到来自中国、朝鲜、伊朗和俄罗斯等地区的550多个威胁组织，利用IPIDEA的出口节点隐藏其活动，访问SaaS环境与本地部署基础设施，并发动密码喷洒攻击。

Google还列出了多个由IPIDEA运营商控制的十余个代理网络及其使用的SDK，供用户警惕。这些代理网络伪装成看似合法的VPN和代理服务商，如360代理、922代理、ABC代理、Cherry代理、Door VPN。以下SDK均由同一团伙控制：Castar SDK、Earn SDK、Hex SDK、Packet SDK。