サイバーセキュリティの世界において、レジデンシャルプロキシは非常に需要の高いものですが、その多くは活発なアンダーグラウンド経済を助長しています。
正当なネットワークルーティングを提供する代わりに、スマートフォンやスマート家電といった日常的なデバイスが密かに乗っ取られ、帯域幅の収集・販売に利用されるケースが多く見られます。
最近の調査では、「Lurking Lizard」として知られる脅威アクターが、大規模かつエンドツーエンドの悪質なプロキシビジネスを運営していることが明らかになりました。
このグループは、ユーザーを騙して偽のソフトウェアをダウンロードさせることで、個人のパソコンをサイバー犯罪者に貸し出すプロキシノードへと変貌させています。
今回の調査で明らかになったのは、買い手・売り手、そして巧妙に偽装されたドメインで構成される、極めて組織化されたエコシステムです。調査は2026年初頭、人気の7-Zip書庫ユーティリティを模倣した単一のマルウェアキャンペーンから始まりました。
Lurking Lizardは、悪質なプロキシウェアを7zip[.]comという特定の「ドロップキャッチ」ドメインでホストしていました。このドメインは、フォーラムでユーザーが頻繁にタイプミスをしたことにより、長年にわたって蓄積された検索エンジン上の正当性(オーガニックな信頼性)を受け継いでいました。
被害者がこの偽ソフトウェアをインストールすると、そのマシンは知らぬ間に広範なレジデンシャルプロキシネットワークへと組み込まれてしまいます。
研究者たちは当初、これを単発のマルウェア事案として扱っていました。しかし、インフラを詳細に分析した結果、この7-Zipを餌にした手口が、2022年8月にまで遡るはるかに大規模な作戦とつながっていることが判明しました。
セキュリティ研究者たちは、WHOIS登録情報とマルウェアに埋め込まれたテレメトリの痕跡を手がかりに、このキャンペーンの全容解明を進めました。
偽の7-Zipドメインは、中国・武漢の「Cheng Li」というエイリアス名を含む登録情報を、複数のなりすましプロキシサービスサイトと共有していたことが分かりました。
マルウェア内部に隠されたIPLoggerのURLは、被害者のメタデータを追跡するための重要なサイレントビーコンとして機能していました。この特徴的な痕跡により、旧来の動画ダウンローダー型マルウェアや新しいVPNクライアントを含む複数の異なるペイロードが、同一の脅威アクターに結びつくものであることが判明しました。
一貫したディレクトリ構造や、複数ドメインにまたがる共通のAPIスキーマといったインフラ上の特徴も、単一の運営者による犯行であることを裏付ける決定的な証拠となりました。
Lurking Lizardの手口は、単にユーザーのマシンを感染させるだけにとどまりません。彼らは正規のプロキシプロバイダーになりすまし、盗み取ったネットワーク帯域幅をオープン市場で積極的に収益化しています。
このアクターは、smartproxy[.]orgやipidea[.]orgといった、非常に巧妙になりすましたドメインを管理下に置き、数百万件におよぶレジデンシャルIPアドレスへのアクセスを販売しています。
これらの偽の販売サイトへ集客するため、一見独立しているように見えるプロキシレビューサイトまで自ら運営しています。
この自己完結型のサプライチェーンは、作戦の規模の大きさを如実に物語っています。Lurking Lizardはデバイスに感染し、IPアドレスを収集し、そのプロキシアクセスを購入希望者に直接販売しているのです。
Infobloxの調査によると、このアクターの主要な被害者獲得経路は、一見正規に見える「WireVPN」というアプリケーションへと進化しています。
このアプリのデスクトップ版は、以前の7-Zipを使ったペイロードと同一の内部構造や永続化の仕組みを共有しています。しかしWireVPNは、主要なモバイルアプリマーケットに堂々と登場することで、アクターの活動範囲を大幅に拡大させています。
Android版アプリだけでも、現在Google Play上で100万件を超えるダウンロード数を誇っており、膨大な数のユーザーがこの脅威にさらされています。
Windowsとモバイルのプラットフォームどちらにおいてもアプリケーションは一貫した開発者情報を共有しており、Windows版のサンプルに至っては有効なコード署名証明書まで使用されていました。
翻訳元: https://cyberpress.org/fake-installer-exposes-proxy-ecosystem/