Lurking Lizard: резидентные прокси, поддельный 7-Zip и экосистема на 230 доменов

APT

Резидентные прокси, обычно ассоциируемые с легитимным сбором данных и обходом геоблокировок, всё чаще становятся инструментом для скрытой киберпреступной деятельности. В начале 2026 года исследователи зафиксировали кампанию по распространению троянизированной версии архиватора 7-Zip через подставной домен 7zip[.]com. Однако, как показало последующее расследование, этот инцидент был лишь вершиной масштабной и давно действующей инфраструктуры. Группировка, получившая название Lurking Lizard, уже несколько лет выстраивает полный цикл монетизации заражённых устройств: от их вербовки через поддельные установщики до продажи доступа к ним под видом коммерческих прокси-сервисов.

Описание

Первичные данные о фальшивом 7-Zip появились в конце января 2026 года. Вредоносное ПО, замаскированное под установщик архиватора, после инсталляции превращало компьютер жертвы в узел резидента прокси-сети. Подобные узлы затем сдавались в аренду через сервисы, предоставляющие доступ к пулу IP-адресов реальных пользователей. Однако специалисты быстро установили связь между этим инцидентом и активностью, уходящей корнями как минимум в август 2022 года. Ключевым звеном в расследовании стали WHOIS-записи: регистрант "Cheng Li", указанный для домена 7zip[.]com, совпал с данными, использованными при регистрации целого кластера сайтов-двойников, имитирующих популярные прокси-сервисы - SmartProxy, IPIDEA, 911Proxy и IP Royal. Анализ показал, что подставные домены, например smartproxy[.]org, не просто копировали дизайн оригиналов, но и обладали собственной сложной инфраструктурой, частично пересекающейся с сетями китайского провайдера IPIDEA. Как показали данные DNS-анализа, общее число выявленных доменов, связанных с Lurking Lizard, превысило 230, что указывает не на разрозненную мошенническую схему, а на системную операцию.

Одной из ключевых тактик, позволивших группировке долгое время оставаться незамеченной, стало использование практики drop-catching - приобретение истекающих доменов с накопленной историей. Так, домен 7zip[.]com, в отличие от оригинального 7-zip[.]org, на протяжении многих лет ошибочно упоминался в форумных обсуждениях и поисковых результатах как верный адрес архиватора. Получив контроль над этим ресурсом, злоумышленники унаследовали его органическую легитимность, что делало подделку почти неотличимой от оригинала. Всего исследователи насчитали как минимум семь подобных доменов, приобретённых Lurking Lizard, с датами первой регистрации вплоть до 2004 года.

Дополнительным связующим элементом между разными кампаниями стал IPLogger - сервис для отслеживания IP-адресов посетителей. В образцах вредоносного ПО, распространявшихся под видом установщиков 7-Zip, WireVPN, а также инструментов для скачивания видео с TikTok и YouTube, был обнаружен один и тот же жёстко прописанный URL: hxxps://iplogger[.]com/mnWD. Вредоносная программа обращалась к этому адресу без вывода информации на экран пользователя, передавая злоумышленникам временные метки, географическое положение, тип браузера и user-agent жертвы. Такая телеметрия позволяла группировке оценивать масштаб заражений и адаптировать свои атаки без необходимости содержать собственную инфраструктуру сбора данных.

В рамках расследования специалисты также выявили характерные паттерны развёртывания вредоносного ПО. Почти все образцы использовали единообразную структуру каталогов, содержащую папку "/version/" и строки версий в формате "Major.Minor.Build.Revision". Вредоносные файлы доставлялись через поддомены вида "update.whatapps[.]net" или "update.wirevpn[.]app", а ответы от серверов отдавались в виде XML, напоминающем облачное хранилище. Такая унификация указывает на общую кодовую базу и единый процесс разработки.

Наибольший масштаб на момент публикации имеет кампания WireVPN. Под этим брендом распространяются приложения для Windows, macOS, iOS и Android. Версия для Windows подписана сертификатом WEILAI NETWORK TECHNOLOGY CO., LIMITED, зарегистрированной в Великобритании, а публикации в Google Play и Apple App Store указывают на одного разработчика. По состоянию на апрель 2026 года Android-приложение WireVPN насчитывает более 1 млн загрузок и свыше 34 тыс. отзывов. Анализ сетевого трафика Windows-клиента показал картину, нехарактерную для обычного VPN: после запуска приложение отправляло ICMP-запросы (ping) на множество IP-адресов по всему миру, при этом ответы от этих хостов формировали список доступных локаций для подключения. Одновременно клиент устанавливал несколько TLS-соединений с разными серверами, а не создавал единый шифрованный туннель. Такое поведение больше напоминает функционирование узла в распределённой прокси-сети, где трафик третьих сторон транслируется через заражённое устройство.

Эксперт по кибербезопасности Бен Брандейдж из компании Synthient, комментируя связь Lurking Lizard с известным китайским провайдером IPIDEA, отметил, что коммерческие прокси-сервисы наращивают пул IP за счёт покупки трафика не только у издателей, но и у мелких перекупщиков. Маленькие операторы, такие как Lurking Lizard, объединяют собственный пул скомпрометированных устройств с более крупными поставщиками, что позволяет предлагать клиентам "безлимитный" доступ и минимизировать простои. Такая цепочка полностью повторяет модель взаимодействия в экосистеме malvertising (вредоносной рекламы), где каждый участник получает выгоду, но ответственность размывается.

Обнаруженная инфраструктура демонстрирует, что резидентные прокси перестали быть исключительно нишевым инструментом для легитимного бизнеса. Злоумышленники выстроили полный жизненный цикл: от создания подставных сайтов с троянизированными установщиками до размещения фальшивых обзорных страниц (proxyreviews[.]org), которые рекламируют те же прокси-сервисы, которыми управляет сама группировка. Lurking Lizard одновременно выступает и разработчиком вредоносного ПО, и оператором прокси-сетей, и продавцом доступа к ним через несколько брендов, что затрудняет выявление конечного источника угрозы. Такая вертикальная интеграция, в которой мошенническое звено контролирует все этапы, становится всё более типичной для современной киберпреступности.

Индикаторы компрометации

Domain

  • 7zip.com
  • 911proxy.com
  • ipidea.org
  • smartproxy.org
  • update.whatapps.net
  • update.wirevpn.app

Комментарии: 0