Google melalui Google Threat Intelligence Group (GTIG) mengumumkan keberhasilan mengganggu (disrupt) operasi IPIDEA, salah satu jaringan proxy residensial terbesar di dunia yang selama ini banyak dimanfaatkan oleh pelaku kejahatan siber. Operasi ini dilakukan bersama sejumlah mitra industri dan menargetkan domain, infrastruktur manajemen perangkat terinfeksi, serta jalur perutean trafik proxy milik IPIDEA.
IPIDEA selama ini memasarkan layanannya sebagai VPN yang “mengenkripsi trafik dan menyembunyikan alamat IP asli,” dengan klaim memiliki 6,7 juta pengguna global. Namun di balik itu, jaringan ini justru mengubah perangkat korban menjadi node proxy melalui aplikasi dan software yang telah ditrojanisasi.
Bagaimana IPIDEA Bekerja
Jaringan proxy residensial memanfaatkan alamat IP rumah atau bisnis kecil untuk menyamarkan aktivitas berbahaya. Dalam kasus IPIDEA, infeksi terjadi lewat:
- Aplikasi Android trojan yang menyamar sebagai utilitas atau VPN
- Binary Windows palsu yang berpura-pura sebagai OneDriveSync atau Windows Update
Google menemukan ≥600 aplikasi Android yang menyertakan SDK proxy IPIDEA (Packet SDK, Castar SDK, Hex SDK, Earn SDK), serta >3.000 binary Windows yang diam-diam menjadikan perangkat sebagai exit node tanpa persetujuan pengguna.
Dampak dan Penyalahgunaan
Dalam dokumen pengadilan, Google menjelaskan bahwa proxy residensial digunakan untuk:
- Pengambilalihan akun (ATO)
- Pembuatan akun palsu
- Pencurian kredensial
- Eksfiltrasi data sensitif
- Penyembunyian infrastruktur botnet
GTIG mengamati >550 kelompok ancaman berbeda memanfaatkan node IPIDEA hanya dalam satu minggu, termasuk aktor dari China, Iran, Rusia, dan Korea Utara. Aktivitas yang terlihat mencakup password spraying, akses ilegal ke platform SaaS, kendali botnet, hingga obfuscation infrastruktur. Sebelumnya, Cisco Talos juga mengaitkan IPIDEA dengan brute-force besar-besaran terhadap layanan VPN dan SSH.
Tak hanya itu, infrastruktur IPIDEA turut mendukung botnet DDoS berskala rekor seperti Aisuru dan Kimwolf.
Banyak Merek, Satu Kendali
Meski tampil dengan banyak brand, Google menegaskan seluruh layanan ini berada di bawah kendali terpusat IPIDEA. Beberapa merek yang teridentifikasi antara lain:
- 360 Proxy, 922 Proxy, ABC Proxy
- Cherry Proxy, Door VPN, Galleon VPN
- IP2World, Ipidea, Luna Proxy
- PIA S5 Proxy, PY Proxy, Radish VPN
- Tab Proxy, Aman VPN (sudah tidak aktif)
Sebagian layanan ini mengklaim sebagai VPN gratis, namun secara diam-diam menjadikan perangkat pengguna sebagai node proxy (exit node).
Struktur C2 Dua Tingkat
Google mengungkap IPIDEA menggunakan arsitektur command-and-control (C2) dua tingkat:
- Tier 1: Mengatur konfigurasi, timing, dan daftar node
- Tier 2: Sekitar 7.400 server yang menugaskan pekerjaan proxy dan meneruskan trafik
Model ini membuat deteksi dan pemutusan jaringan menjadi menantang—hingga akhirnya berhasil diganggu lewat kolaborasi GTIG dan mitra.
Langkah Perlindungan & Rekomendasi
- Google Play Protect kini otomatis mendeteksi dan memblokir aplikasi Android yang mengandung SDK IPIDEA pada perangkat Android bersertifikasi dan terbaru.
- Pengguna disarankan menghindari VPN/proxy gratis dari penerbit tidak jelas, terutama aplikasi yang:
- Menawarkan imbalan uang/bandwidth
- Meminta izin jaringan berlebihan
- Tidak transparan soal pemrosesan data
Meski operasi ini berdampak besar, belum ada penangkapan yang diumumkan dan Google memperingatkan bahwa pelaku berpotensi membangun ulang infrastrukturnya.