根据 Google 威胁情报小组 (GTIG) 于 2026 年 1 月 28 日发布的官方技术报告（Google Cloud Blog 原文）以及 Lumen (Black Lotus Labs) 等合作伙伴的深度披露，我们对这一起教科书级的灰产基础设施拆解行动进行了底层技术复盘。

这不是一次普通的封禁，而是一场针对“代理即服务 (Proxy-as-a-Service)”商业模式的根源性打击。

一、 技术背景：IP 地址的“洗白”工业化

传统黑客攻击常被机房 IP（Datacenter IP）的黑名单机制拦截，因此**住宅代理（Residential Proxy）**成为攻防博弈的焦点。

• 资源规模：IPIDEA 控制了数百万个来自 ISP（互联网服务提供商）分配给家庭或小微企业的真实 IP。

• 多品牌矩阵：报告显示 IPIDEA 并非单一实体，其背后控制着 360 Proxy、Luna Proxy、922 Proxy、PIA S5、ABC Proxy 等 13 个看似独立的品牌，形成了一个抗风险的 reseller 体系。

二、 底层渗透逻辑：供应链与固件双重投毒

根据 GTIG 的披露，IPIDEA 的节点获取主要依赖以下三种硬核手段：

1. SDK 隐蔽劫持：

   • PacketSDK、EarnSDK、CastarSDK、HexSDK：这些是其核心投毒工具。开发者为了“带宽变现”在 App 中集成这些 SDK。

   • 静默退出节点：一旦应用安装，设备即成为代理网络中的 Exit Node。这些 SDK 包含复杂的逻辑，能监控设备电量和连接状态，在不影响用户感知的“甜点位”偷取上行带宽。

2. Windows 二进制伪装：

   • GTIG 识别出 3,075 个 独特的恶意 Windows 二进制文件。这些文件通常伪装成 OneDriveSync.exe 或 Windows Update，通过社工或捆绑软件进入企业办公环境。

3. BadBox 2.0：固件级供应链攻击：

   • 这是最严重的一环。大量廉价的、未经认证的安卓电视盒和投影仪，在出厂固件中就已被植入了 IPIDEA 的代理代码，实现了“物理级”的全球肉鸡化。

三、 战术拆解：两层 C2 指挥体系

IPIDEA 的基础设施采用了高度冗余的两层（Two-Tier）架构：

• Tier 1 (控制层)：受感染设备首先连接到 Tier 1 域名，获取当前可用的 Tier 2 节点信息。

• Tier 2 (传输层)：全球部署了约 7,400 台 代理中转服务器，负责处理来自黑客的请求并将其路由至家庭“肉鸡”。

Google 的反制措施：

• Sinkholing (黑洞劫持)：Google 通过法律手段接管了 Tier 1 控制域名，切断了数百万受控设备与指挥部的联系，并借此掌握了全网拓扑。

• Play Protect 全局清洗：针对识别出的 600+ 恶意安卓 App，Google 利用系统级权限实施了自动预警与强制卸载。

四、 威胁情报：谁在利用 IPIDEA？

在 2026 年 1 月的一个 7 天观测窗口内，GTIG 监测到超过 550 个 活跃威胁组织在使用该网络，包括：

• 国家级 APT 组织（涉及俄罗斯、伊朗、朝鲜等）：利用住宅 IP 绕过针对国家地理位置的访问限制（Geo-blocking）。

• 高级认证攻击：针对 Microsoft 365 等 SaaS 环境进行密码喷洒（Password Spraying）。由于流量分散在数百万个住宅 IP 中，传统的单 IP 速率限制（Rate Limiting）完全失效。

?️ LeisureLinux 专家视点：安全加固建议

1. 零信任架构 (Zero Trust)：基于 IP 的信任模型已完全崩溃。企业防御应转向基于设备指纹、JA3 签名以及行为分析的零信任验证。

2. IoT 物理隔离：所有的国产/廉价安卓终端必须置于独立的 VLAN 且禁止访问内部管理网段。

3. 供应链审计：开发者在集成任何带有“变现（Monetization）”标签的 SDK 前，务必进行静态沙箱检测和动态流控分析。

总结：IPIDEA 的覆灭证明了在互联网基础设施面前，即便再隐蔽的灰产帝国也难逃巨头的联合绞杀。但在利益驱动下，新的变种（如 BadBox 3.0）或许已在路上。

来源：Google Threat Intelligence Group (GTIG) - "Disrupting the World's Largest Residential Proxy Network" (2026-01-28)

………………

关于 ipidea:

IPIDEA隶属于江苏艾迪信息科技有限公司，注册地为江苏徐州，是一家主营全球IP代理服务的企业，旗下或关联多个代理品牌，2026年1月遭Google联合多方发起打击行动，公司否认相关恶意指控。以下是其核心背景信息：

一、基础信息

• 主体公司：江苏艾迪信息科技有限公司。

• 成立时间：公开资料显示IPIDEA业务始于2019年，公司官网曾提及2016年成立，存在矛盾信息。

• 核心业务：提供全球住宅IP、数据中心IP等代理服务，覆盖220多个国家和地区，宣称有9000万个住宅IP和180万个数据中心IP，服务企业级数据采集、跨境电商等场景。

• 关联品牌：控制或关联360Proxy、922Proxy、ABC Proxy、IP2World等十余个香港注册的代理品牌。

二、发展历程

• 2019年，确定IP代理与数据采集方向，研发产品功能。

• 2020年，部署全球服务器，积累数千万爬虫资源。

• 2021年，注册用户增长，与世界500强企业达成合作。

• 2022年，在国内数据采集用户中知名度提升。

• 2023年，全球服务器节点布局完善，IP资源规模扩大。

• 2026年1月，遭Google联合多机构打击，网站等基础设施受重创，公司否认指控并声称服务合规。

三、技术与运营

• 技术架构：采用智能动态轮转与长效静态IP并存架构，称动态IP连接成功率99.9%，有IP健康度实时监控与清洗系统。

• 运营模式：通过SDK嵌入应用，将用户设备转化为代理节点，开发者可借此获利，公司称应用会告知用户相关情况。

四、争议事件

• 2026年1月，Google称IPIDEA网络被550多个威胁组织用于恶意活动，联合Cloudflare等多方通过法院查封域名、清除恶意应用等方式打击其运营。• IPIDEA否认指控，强调自身服务合规，称 IP资源经严格筛选，遵守相关法规。