Купил TV Box на распродаже — стал прокси для хакера. Киберпанк, который мы заслужили

leer en español

IPCola Gaganode InstaIP NuoChen Technology Synthient Research прокси-сервисы скрытая монетизация
Купил TV Box на распродаже — стал прокси для хакера. Киберпанк, который мы заслужили
IPCola Gaganode InstaIP NuoChen Technology Synthient Research прокси-сервисы скрытая монетизация

История о том, как миллионы пользователей стали невольными соучастниками глобальной аферы IPCola.

image

Запуск сервиса IPCola на теневых форумах в 2023 году выглядел как очередное появление площадки для продажи прокси, однако заявленные объёмы адресов и происхождение трафика быстро вывели расследование Synthient Research к более запутанной схеме. В результате выяснилось, что ресурс связан с сетью, собранной на базе сторонних приложений и устройств, где трафик пользователей превращается в источник дохода без их ведома.

IPCola работает без проверки личности, предлагает оплату криптовалютой и даёт доступ к широкому набору прокси. Ключевым же элементом инфраструктуры оказалась не сама площадка, а домены, к которым ведут её технические записи. Анализ обратной связи IP-адресов вывел специалистов к ресурсу Gaganode, продвигающему децентрализованную монетизацию пропускной способности. Визуальное сходство интерфейсов обеих платформ и общие доменные связки усилили подозрения в тесной взаимосвязи.

Gaganode предоставляет издателям инструменты для встраивания своего модуля практически в любое приложение, включая устройства на базе Android и недорогие ТВ-приставки. После установки модуль получает возможность принимать и перенаправлять трафик, а администраторы сети — отправлять командам устройств удалённые инструкции. По оценке Synthient Research, такая функциональность фактически превращает подключённые узлы в управляемую сеть, что больше напоминает вредоносный контроль, чем коммерческий механизм прокси.

Модуль Gaganode замечен в предустановленном ПО некоторых ТВ-боксов китайского производства, где соседствует с другими инструментами скрытой монетизации. Параллельно он встречается в старых версиях бесплатных приложений для Windows и на сайтах с взломанным софтом. Такая схема помогает быстро расширять сеть узлов, даже если время работы отдельных устройств не слишком велико.

Отдельный интерес вызвало совпадение доменных записей IPCola с сервисом InstaIP, ориентированным на китайскую аудиторию. В сочетании с отсутствием проверки пользователей и активным продвижением на серых форумах это позволяет предположить, что IPCola создавался как внешняя витрина для зарубежных покупателей. Synthient Research выражает уверенность, что оба сервиса связаны с китайской компанией NuoChen Technology, предлагающей услуги транзита трафика и использующей свою инфраструктуру максимально широко.

По данным Synthient Research, за неделю IPCola генерирует около 1,6 млн уникальных IP-адресов, причём многие из них принадлежат устройствам в Индии, Бразилии и странах Южной Америки. Пересечения между пулами различных прокси-платформ показывают, что в одном приложении могут одновременно работать несколько встраиваемых модулей, усиливая смешение сетей и ещё сильнее размывая их происхождение. История IPCola демонстрирует, до какой степени рынок прокси может зависеть от непрозрачных методов формирования адресных пулов.