
Operação de ponta a ponta usa mais de 230 domínios semelhantes, iscas trojanizadas e marcas falsas de provedores de proxy para monetizar tráfego de terceiros através de máquinas comprometidas
| Componente | Ecossistema Lurking Lizard: instaladores trojanizados (7-Zip, WhatsApp, downloaders falsos de TikTok/YouTube, WireVPN), aplicativos móveis e desktop em Android, macOS e Windows, mais de 230 domínios lookalike e vitrines que imitam IPIDEA, SmartProxy/Decodo, IP Royal e 911Proxy |
| Vetor | Aquisição por drop-catching de domínios expirados (ex.: 7zip[.]com versus o legítimo 7-zip[.]org), conteúdo tutorial, descoberta via busca, domínios semelhantes, VPNs e serviços como HeroSMS usados como iscas, e sites de avaliação independentes falsos que direcionam para lojas fraudulentas |
| Impacto | Dispositivos de vítimas passam a atuar como nós de saída de proxy residencial, canalizando tráfego de terceiros; proprietários podem ver o tráfego legítimo sinalizado ou bloqueado por provedores; a funcionalidade de proxy nos apps móveis permanece incerta em relação às variantes desktop |
| Prioridade | Bloquear domínios lookalike e indicadores de rastreamento associados, auditar endpoints e dispositivos móveis por instaladores não oficiais de utilitários populares, reforçar políticas de software permitido e monitorar tráfego de saída anômalo compatível com uso de proxy residencial abusivo |
| Artefatos | URL de rastreamento IPLogger embutida nas amostras da campanha 7-Zip (hxxps://iplogger[.]com/mnWD); app Android wirevpn - Fast Unlimited Proxy, desenvolvido por WEILAI NETWORK TECHNOLOGY CO., LIMITED, com mais de um milhão de downloads registrados |
| IoCs | Domínio malicioso 7zip[.]com; infraestrutura compartilhada para instaladores falsos de 7-Zip, WhatsApp, WireVPN e ferramentas de download; mais de 230 domínios lookalike ligados à operação desde pelo menos agosto de 2022 |
Pesquisadores de segurança descreveram um ator de ameaça apelidado de Lurking Lizard que opera um negócio ilícito de proxy residencial de ponta a ponta, abrangendo aquisição de vítimas, infraestrutura de proxy, marketing e monetização. A atividade é rastreada desde pelo menos agosto de 2022 e se apoia em mais de 230 domínios com aparência legítima, de acordo com análise de inteligência DNS.
Uma campanha observada no início de 2026 usou um instalador trojanizado do utilitário de compressão 7-Zip hospedado no domínio 7zip[.]com — frequentemente confundido com o site oficial 7-zip[.]org — para recrutar dispositivos comprometidos como nós de proxy sem conhecimento do usuário. O grupo também personifica grandes provedores de proxy, incluindo IPIDEA, SmartProxy (hoje Decodo), IP Royal e 911Proxy, e mantém sites de avaliação supostamente independentes para direcionar tráfego às próprias vitrines fraudulentas.
A operação evoluiu para uma abordagem multipronta que inclui branding WireVPN e alvos em Android, macOS e Windows. Análises de WHOIS e impressão digital de infraestrutura apontam um ator com base na China. O caso ganha relevância adicional porque, poucos dias antes da divulgação, a Google anunciou degradação significativa da rede de proxy residencial NetNut (também conhecida como Popa), que havia convertido pelo menos dois milhões de dispositivos — como smart TVs e boxes de streaming — em condutos de tráfego não autorizado por meio de SDKs com código oculto de proxy.
O modus operandi de Lurking Lizard combina técnicas de aquisição de domínio e distribuição de malware disfarçado de software legítimo. O ator pratica drop-catching: registra domínios quando expiram para herdar histórico e legitimidade percebida. O exemplo mais citado é 7zip[.]com, explorando referências incorretas ao nome do produto real hospedado em 7-zip[.]org.
Na campanha original centrada em 7-Zip, as vítimas eram conduzidas a instaladores maliciosos por conteúdo tutorial, descoberta via mecanismos de busca e domínios semelhantes. Amostras analisadas continham uma URL de rastreamento IPLogger (hxxps://iplogger[.]com/mnWD). A mesma infraestrutura subjacente também serviu instaladores falsos de WhatsApp, ferramentas que se apresentavam como downloaders de TikTok e YouTube, e pacotes WireVPN.
O fluxo monetário segue duas etapas distintas e coordenadas. Primeiro, instaladores trojanizados, aplicativos móveis e outras iscas recrutam dispositivos de vítimas para um pool controlado pelo ator. Em seguida, esse conjunto de endereços IP residenciais é comercializado por meio de marcas que imitam serviços legítimos de proxy, enquanto sites de resenhas falsas impulsionam demanda para as vitrines do esquema.
A evolução com WireVPN amplia o alcance entre sistemas operacionais. Um aplicativo Android identificado como wirevpn - Fast Unlimited Proxy, publicado por WEILAI NETWORK TECHNOLOGY CO., LIMITED, acumulou mais de um milhão de downloads, embora não esteja claro se esse volume reflete instalações orgânicas. Pesquisadores observam que pode haver canal adicional de aquisição via aplicativos móveis, mas ainda não há confirmação de que a funcionalidade de nó de saída — presente nas variantes desktop — exista nas versões móveis da mesma forma.
Achados posteriores de Proxyway indicaram que 773.087 endereços IP únicos associados à SmartProxy também apareciam em um conjunto de dados público da IPIDEA com 16.192.293 IPs únicos, sugerindo que a SmartProxy revenderia diretamente a infraestrutura da IPIDEA ou a utilizaria como fonte relevante de endereços. A infraestrutura da IPIDEA foi desmantelada pela Google em operação realizada em janeiro de 2026, contextualizando pressão recente sobre redes de proxy abusivas no mesmo ecossistema.
A superfície inclui usuários finais que buscam utilitários populares, VPNs ou ferramentas de download fora de canais oficiais, além de organizações cujo tráfego de saída pode transitar por IPs residenciais comprometidos sem relação com a vítima original. O esquema não se limita a um único tipo de isca: a mesma base operacional distribuiu múltiplos instaladores falsos e aplicativos com branding distinto.
Dispositivos Android, macOS e Windows entram no escopo das variantes observadas. O uso de VPNs conhecidas e de serviços como HeroSMS como iscas adiciona camadas de disfarce na cadeia de distribuição. A operação se estende por anos e administra várias fases do ciclo de vida de proxy residencial, em contraste com campanhas de malware pontuais e de propósito único.
- Mais de 230 domínios lookalike ligados à infraestrutura do ator desde pelo menos agosto de 2022
- Instaladores falsos associados a 7-Zip, WhatsApp, downloaders de TikTok/YouTube e WireVPN servidos pela mesma base
- Aplicativo Android wirevpn - Fast Unlimited Proxy com mais de um milhão de downloads na loja
- Marcas fraudulentas que imitam IPIDEA, SmartProxy/Decodo, IP Royal e 911Proxy, com sites de avaliação falsos
- Possível sobreposição de endereços IP entre SmartProxy e conjunto público da IPIDEA, conforme análise Proxyway
Equipes de detecção devem correlacionar instalações de utilitários de compressão, mensageiros ou VPNs com origem fora do site oficial do fornecedor, especialmente quando o download partiu de domínio com grafia próxima ao legítimo. A presença de URLs de rastreamento do tipo IPLogger em artefatos de instalação constitui elo entre campanhas que, à primeira vista, parecem independentes.
Em rede, o padrão típico de abuso de proxy residencial envolve tráfego de saída consistente e possivelmente atípico para o perfil do usuário ou do dispositivo doméstico, incluindo conexões originadas por processos não associados ao uso declarado do aplicativo. Em identidade e governança de TI, políticas que permitam apenas binários assinados e distribuídos por canal oficial reduzem a superfície de instalação silenciosa de nós de proxy.
A comparação com o caso NetNut reforça a necessidade de inspecionar SDKs e aplicativos pré-instalados em dispositivos de consumo: a Google descreveu risco de endereços residenciais usados como ponto de partida para atividades não autorizadas, com consequência de bloqueio ou sinalização do tráfego legítimo do proprietário do IP. Lurking Lizard segue lógica paralela no segmento de desktops e móveis recrutados por instaladores e apps enganosos.
- Downloads de 7-Zip, WhatsApp ou VPN a partir de domínios lookalike como 7zip[.]com em vez de 7-zip[.]org
- Referências embutidas a hxxps://iplogger[.]com/mnWD ou domínios de rastreamento similares em pacotes de instalação
- Processos ou serviços persistentes compatíveis com encaminhamento de tráfego de terceiros após instalação de app de proxy ou utilitário não oficial
- Consultas DNS e tráfego HTTP/S para domínios que imitam provedores de proxy conhecidos ou vitrines ligadas a resenhas fraudulentas
- Endereços de saída residenciais aparecendo em atividades de terceiros sem correspondência com inventário corporativo conhecido
A resposta deve começar pelo inventário de software instalado fora de repositórios confiáveis, com prioridade para utilitários de arquivo, mensageria e clientes VPN amplamente procurados em buscas. Remoção de artefatos maliciosos deve ser acompanhada de rotação de credenciais se o dispositivo hospedou tráfego de terceiros, pois o IP residencial pode ter sido associado a comportamento abusivo por provedores e serviços externos.
No perímetro DNS e web, bloqueio preventivo de domínios lookalike identificados na campanha reduz novas infecções, mas não substitui educação sobre verificação de domínio oficial antes do download. Organizações devem reforçar controles de instalação em endpoints corporativos e revisar listas de permissão de aplicativos móveis, dado o volume de downloads do app WireVPN identificado na investigação.
A pressão sobre redes de proxy ilícitas — incluindo a ação da Google contra IPIDEA em janeiro de 2026 e a degradação da NetNut — indica tendência de resposta em larga escala, mas pesquisadores destacam que soluções ainda são elusivas devido à complexidade do ecossistema, com paralelos entre proxy residencial criminal e malvertising em publicidade afiliada. Defesas eficazes combinam bloqueio de infraestrutura, telemetria de saída e políticas rígidas de origem de software.
- Permitir instalação apenas de 7-Zip e demais utilitários a partir do domínio oficial 7-zip[.]org ou lojas verificadas do fabricante
- Incluir domínios lookalike e indicadores de rastreamento associados à campanha em bloqueios DNS, proxy e filtros de e-mail que distribuem links tutorial
- Investigar endpoints e dispositivos móveis com apps de proxy ou downloaders de origem desconhecida, priorizando variantes WireVPN e pacotes ligados à infraestrutura IPLogger citada
- Monitorar reclamações de bloqueio de IP residencial e correlacionar com instalações recentes de software supostamente gratuito obtido via busca
- Atualizar conscientização interna sobre sites de avaliação falsos que promovem provedores de proxy e sobre o risco de o dispositivo doméstico se tornar nó de saída sem consentimento
0 Comentários