IPIDEA enttarnt: Google stoppt zentrale Drehscheibe für Botnetze und APTs

Der Google Threat Intelligence Group (GTIG) ist gemeinsam mit weiteren Akteuren aus der Branche ein bedeutender Erfolg gelungen: Eines der weltweit größten bösartigen Residential-Proxy-Netzwerke wurde außer Gefecht gesetzt.

Ein aktueller GTIG-Bericht zeigt detailliert, wie IPIDEA sich unbefugt Zugriff auf Alltagsgeräte wie Smartphones, Set-Top-Boxen und Desktop-Computer verschaffte. Diese kompromittierten Geräte wurden anschließend für eine Vielzahl schädlicher Aktivitäten missbraucht. IPIDEA fungierte dabei als zentrale Drehscheibe für zahlreiche Botnetze. Hunderte von Hackergruppen nutzten die Infrastruktur, um ihre Spuren zu verschleiern – darunter Akteure aus den Bereichen Cyberkriminalität, Spionage, Advanced Persistent Threats (APTs) und gezielte Informationsoperationen. Die Aktivitäten lassen sich weltweit beobachten, unter anderem mit Bezügen zu China, Nordkorea, Iran und Russland.

Google hat inzwischen rechtliche Schritte eingeleitet, um die zur Steuerung dieser Geräte genutzte Infrastruktur abzuschalten, und die gewonnenen Erkenntnisse mit anderen Plattformbetreibern geteilt. Zusätzlich wurde Google Play Protect aktualisiert: Nutzer werden nun automatisch vor Apps gewarnt, die IPIDEA-Code enthalten. Auf zertifizierten Android-Geräten entfernt das System solche schädlichen Anwendungen selbstständig und verhindert deren erneute Installation.

John Hultquist, Chefanalyst der GTIG, ordnet die Bedeutung der Ereignisse ein:

„Residential Proxys sind zu einem weit verbreiteten Werkzeug für alles geworden – von hochkarätiger Spionage bis hin zu massiven kriminellen Machenschaften. Angreifer leiten den Datenverkehr über die private Internetverbindung einer Person, wodurch sie sich verstecken und gleichzeitig unbemerkt in Unternehmensumgebungen eindringen können. Indem wir die Infrastruktur, die zum Betrieb des IPIDEA-Netzwerks genutzt wurde, lahmgelegt haben, haben wir einem globalen Marktplatz effektiv die Grundlage entzogen, der den Zugang zu Millionen gehackter Endgeräte verkauft hat.“

Vorgehensweise IPIDEA

• Zweiteiliger Ansatz: In einigen Fällen bezahlen Proxy-Betreiber App-Entwickler dafür, dass sie Code für „Monetarisierung" in gängigen Spielen und Hilfsprogrammen verstecken. Wenn ein User die App herunterlädt, wird sein Gerät im Hintergrund in das Netzwerk eingebunden.
  • Die Anbieter vermarkten diese Kits als Möglichkeit für Entwickler, ihre Anwendungen zu monetarisieren, und bieten Kompatibilität mit Android, Windows, iOS und WebOS.
  • IPIDEA veröffentlichte außerdem eigenständige Apps, die den Nutzern direkt angeboten wurden, um „schnelles Geld zu verdienen“. IPIDEA warb unverhohlen damit, dass sie Verbrauchern Geld dafür bezahlen, die App zu installieren und die Nutzung ihrer „ungenutzten Bandbreite“ zu gestatten.
• Die Marken von IPIDEA werden intensiv in Untergrundforen vermarktet, vor allem an Cyberkriminelle, die Angriffe durchführen wollen, welche nicht zurückverfolgt werden können.
• IPIDEA verkauft den Zugriff auf diese Geräte dann über verschiedene Proxy- und VPN-Dienste an Dritte.

Warum das wichtig ist

• GTIG hat Millionen von Geräten in diesem Netzwerk identifiziert, die einen globalen „grauen Markt“ für abgefangene Bandbreite bildeten.
  • Da der Datenverkehr über einen realen Internetanbieter für Privathaushalte läuft, sehen Angriffe wie legitimer privater Internetverkehr aus. Der bösartige Datenverkehr kann sich mit dem übrigen Datenverkehr im Heimnetzwerk vermischen, sodass es für Sicherheitsteams sehr schwierig wird, bösartige Aktivitäten zu erkennen und zu blockieren. Hacker können diese Netzwerke nutzen, um ihre schädlichen Aktivitäten ständig an andere Orte zu verlagern.
• Wenn Endgeräte übernommen werden, wird nicht einfach nur die Internetbandbreite „geteilt“. Diese Software kann eine digitale Hintertür in ein Heimnetzwerk schaffen und Kriminellen die Möglichkeit geben, auf andere private Geräte wie Laptops, Kameras oder Smart-Home-Geräte zuzugreifen, die mit demselben WLAN verbunden sind.
• Die Recherchen ergaben, dass in einer einzigen Woche im Januar 2026 staatlich geförderte Akteure aus China, Russland, Iran und Nordkorea dabei erwischt wurden, wie sie diese spezifische Infrastruktur nutzten, um in SaaS-Umgebungen einzudringen und Passwort-Spraying-Angriffe zu starten.

Den vollständigen Bericht, einschließlich einer Liste der betroffenen SDKs (Software Developments Kits) und technischer Indikatoren, können Sie auf dem Blog lesen.