文章总结： 本文深入探讨了住宅代理网络如何演变为支撑大规模僵尸网络的基础设施，并以KimWolf为例揭示了其运作模式。文章分析了从2016年Triada恶意软件出现，到BADBOX生态系统规模化运作，再到2025年底Aisuru、KimWolf等僵尸网络利用已被入侵的设备发动DDoS攻击并通过代理经济获利的完整过程。核心结论是，这标志着灰色产业链失控，对互联网安全构成系统性威胁，且该生态系统已变得极为庞大和分散，难以通过单一手段彻底解决。 综合评分： 85 文章分类： 恶意软件,僵尸网络,供应链安全,移动安全,技术标准

住宅代理网络背后的僵尸网络故事

原创

1号员工 1号员工

黑鸟

2026年5月20日 23:50 广东

在小说阅读器读本章

去阅读

在网络滥用领域，总有一些精明的从业者投入时间寻找新的方法来支持网络犯罪，毕竟这是一个利润丰厚的领域。

最新一轮的创新来自住宅代理（Residential Proxy）：一种使用真实家庭宽带IP地址作为代理节点的网络服务。由互联网服务提供商（ISP）分配给普通住宅用户的IP地址，通过技术手段转化为可商用的代理服务器。

它不是数据中心机房的服务器IP，而是模拟真实用户在家上网的行为，让目标网站认为请求来自普通家庭用户。

核心价值在于高匿名性 + 低检测率，流量特征与真人一致，几乎无法被反爬虫或风控系统识别为代理。

IP来源真实住宅设备（如家用路由器、电脑、手机）的宽带IP，可精确到国家、城市甚至ISP运营商级别，通常通过用户授权或ISP合作获取，符合GDPR、CCPA等隐私规范。

历史上，住宅代理提供商通过各种创造性手段获取了数十万甚至数百万个 IP 地址。

这些手段包括将代码嵌入移动应用程序，以及建立代理供应商市场。

住宅代理提供商声称，数百万用户已经同意为了互联网的更大利益而共享他们的网络连接。

近年来，住宅代理行业出现了一个并不令人意外的趋势。服务提供与代理获取环节被成功分离。毕竟设备收集是整个行业中最具争议的做法。行业还引入了存在设计缺陷的客户身份验证 KYC 流程。

现实情况是，住宅代理已经成为当前互联网面临的最大安全挑战。针对 Qurium 基础设施的数十次攻击都源自住宅代理提供商。

这些攻击包括 volumetric 应用层攻击、高强度渗透测试、入侵尝试和未经授权的数据爬取。当 Qurium 成功将攻击追溯到 Rapidseed Box、Bright Data、Rayobyte、Plain Proxies、Oxylabs 和 Fine Proxy 等住宅提供商时，得到的回应几乎如出一辙。

这些公司都表示感谢举报，但同时声称自己是合法提供商，要求 Qurium 不要打扰他们。

许多读者可能还记得十年前的 Mirai 僵尸网络。这个由 Paras Jha、Josiah White 和 Dalton Norman 创建的僵尸网络，主要通过入侵易受攻击的路由器并改进其现有的 Qbot 僵尸网络构建而成。为了逃避责任，Anna-Sempai 也就是 Jha 公开了 Mirai 的源代码，让其他人可以运行自己的版本。最终这三人只被判处五年缓刑，没有入狱服刑。

Kimwolf 与 Mirai 有许多相似之处。它是最新一个例子，展示了当有足够空闲时间的人发现可以通过接管他人基础设施获得乐趣和金钱时会发生什么。在这个案例中，Kimwolf 接管了代理供应商 IPIDEA 的部分基础设施。IPIDEA 是一个被网络犯罪分子广泛使用的代理服务提供商。

Kimwolf 的主要运营者包括 Jacob Butler、Oliver Bates 来自加拿大和 Philip 来自德国。他们的网络昵称分别是 Dort、Zerlokk 和 Snow。Qurium 希望这些人不会像 Mirai 三人组那样，通过与 FBI 达成协议只接受社区服务的惩罚。Mirai 三人组最终只服了 11 个月的社区服务，没有入狱。这样的判决向未来的网络犯罪分子传递了什么样的信号？

Kimwolf 及其前身 Aisiru 在 2025 年 11 月进入公众视野。当时 Qurium 分析了多起针对独立媒体网站的拒绝服务攻击。

调查结果显示，Kimwolf 利用了 IPIDEA 提供的基础设施。IPIDEA 通过在数百万个未经认证的 Android 设备中嵌入代码，并加入来自 Badbox 2.0 僵尸网络的地址，建立了自己的 IP 地址池。

这些年轻的运营者发现了多种利用 IPIDEA 获取更多设备来构建自己代理网络的方法。随着事态失控，包括 Google 在内的多个行业参与者采取行动，摧毁了 IPIDEA 的多个品牌。这些品牌包括 360Proxy、922Proxy、ABC Proxy、Cherry Proxy、IP2World、IPidea.io、LunaProxy、PIA S5 Proxy、PyProxy 和 TabProxy。

不幸的是，住宅代理市场的混乱状态让未来看起来并不乐观。尽管目前业界正在付出巨大努力从技术上绘制这个生态系统的图谱，但主要挑战仍然存在。如何检测和归因网络滥用行为，仍然是一个未解难题。可以肯定的是，许多人将不得不承受这个混乱网络世界带来的后果。

关于 Kimwolf 已经有数百页的报告和数十篇文章。每当一次拒绝服务攻击打破流量记录，就会出现新的头条新闻。这些新闻通常将其描述为破纪录的僵尸网络或人类历史上最大的僵尸网络。

但更值得关注的不是 KimWolf 僵尸网络的能力，而是它所代表的意义。它标志着一个明显的转折点。Kimwolf 是一个碎片化、被入侵的生态系统最终失控的结果。这不是一个意外，而是一种必然。

这个过程始于 2016 年，当时 Triada 恶意软件首次出现。这是一种深度嵌入的恶意软件，它不仅感染应用程序，还能驻留在 Android 操作系统内部。起初，这只是一个聪明的技术手段。它提供了持久访问权限，可以静默安装应用程序，建立用户无法察觉的立足点。但就像螺旋的第一圈转动一样，它启动了一个不可逆转的过程。

到了 2019 年至 2023 年，这个螺旋不断扩大。Lemon Group 等运营者意识到，真正的力量不在于黑客攻击设备，而在于销售已经被入侵的设备。生产线成为了感染点。廉价的 Android 机顶盒和手机离开仓库时，已经不仅仅是产品，而是可以被利用的资产。攻击者注入广告、伪造点击、悄悄路由流量。资金开始流动，这个系统运转良好。Google 和其他公司也因此对被盗的广告收入感到担忧。

随后进入了工业化阶段。大约在 2022 年，这个生态系统结晶为后来被称为 BADBOX 的组织。不久之后，BADBOX 2.0 在 2023 年至 2025 年期间出现。在此期间，业界实施了多次法律和技术手段试图关闭这些基础设施，但都失败了。

Bad Box 2.0 样本狩猎👇

但 Badbox 不仅仅是一个组织，它是一个市场。不同的参与者扮演着不同的角色。LongTV 负责预装启动器和命令通道，SalesTracker 风格的联盟推广变现方案，IPMOYU 等代理运营商将设备转变为住宅出口节点。这个系统虽然混乱，但像黑市经济一样有自己的规则。螺旋仍在收紧，但还没有断裂。

然后到了 2025 年底，系统开始失控。

这不是因为原始运营者失去了兴趣，而是因为其他人找到了进入的大门。那些使这个生态系统有利可图的后门、SDK 钩子、暴露的服务、智能 DNS 技巧和薄弱的更新路径，也使它变得容易被访问。这一次，进入的不是有组织的犯罪集团。

一波规模较小的参与者开始利用这个暴露的生态系统。这些人组织松散、机会主义，有时只是技术熟练的年轻人。他们发现艰苦的工作已经有人为他们完成了。他们不需要从头开始构建僵尸网络，只需要发现这个已经被入侵的设备星球，并学会如何利用它。

Aisuru、KimWolf 和 JackSkid 等僵尸网络并没有创造这个世界，它们只是继承了它。或者更准确地说，它们闯入了这个世界。通过利用与住宅代理提供商 IPIDEA 相关的基础设施，它们开始重新利用这些设备。这一次，这些设备不再仅仅用于广告欺诈或静默代理，而是被用于大规模、攻击性的 DDoS 攻击。

就在这时，螺旋彻底断裂了。

曾经为了利润而建立、为了隐身而优化的半协调生态系统，变成了混乱的战场。多个参与者、重叠的控制权、相互竞争的用途。设备被困在中间，根据谁先到达它们而切换角色。供应链变成了战场。

归根结底，这不是一个单一组织或单一恶意软件家族的故事。这是一个诞生于制造业和软件供应链的灰色市场生态系统，如何向外扩张直至失去自我控制的故事。Triada 启动了这个过程。

Lemon Group、IpMoYu 和 BADBOX 将其规模化。

但到 2025 年底，这个螺旋已经扩大到如此程度，任何有技能和好奇心的人都可以介入并分一杯羹。

以 KimWolf 僵尸网络为例。

其运营者不仅将僵尸网络用于攻击，还通过接入从该生态系统发展而来的同一代理经济来获利。

调查人员在受感染的设备上发现了与 ByteConnect 等框架一致的 SDK 风格组件。这些组件有效地将这些机器变成了代理节点。ByteConnect 作为代理启用器，提供了注册设备、路由流量和将它们公开出售的机制。

这就是闭环的形成方式。这些代理节点随后会出现在 Plain Proxies 等商业网络中，看起来像普通的住宅代理服务。表面上看起来干净合法的产品，其底层实际上由相同的受感染设备池提供支持。螺旋完成了自我循环。恶意软件变成了基础设施，基础设施变成了产品，新的参与者只需接入即可获利。

关于僵尸网络、代理网络和 Android 恶意软件生态系统的研究大多分散在不同的地方。这些信息分布在法庭文件、供应商报告和独立调查中。

下表将这些线索整合在一起。它关联了以下几个方面的信息：

• FBI 和司法部关于基于 Mirai 的僵尸网络的披露
• 诺基亚 Deepfield、XLab、Google 等机构的行业研究
• KrebsOnSecurity 关于 Triada、BADBOX 和相关供应链活动的调查报道

这项工作的目标是揭示结构性关系，包括 DDoS 僵尸网络如何与代理变现层交互、Android 供应链恶意软件如何为这些生态系统提供支持，以及基础设施、工具或参与者在哪些方面存在重叠。

Kimwolf 事件不是一个孤立的安全事件，而是整个住宅代理行业系统性问题的集中爆发。从 2016 年 Triada 恶意软件的出现，到 BADBOX 生态系统的工业化运作，再到 2025 年底的全面失控，这个过程展示了灰色产业如何一步步演变为全球性的安全威胁。

当前的挑战在于，这个生态系统已经变得如此庞大和分散，以至于任何单一的执法行动或技术打击都难以彻底解决问题。当数百万台设备在出厂时就已经被植入后门，当商业代理服务与受感染的设备池无缝融合，当任何有基本技术能力的人都可以接入这个庞大的基础设施时，互联网的安全边界已经被彻底打破。

涉及住宅代理的僵尸网络列表如下

#

Triada (early) 活跃于 2016 年至今，属于 Android 恶意软件平台，已知参与者代号为 Yehuo 和 Blazefire（据报道），背后关联未具名的供应链厂商。其技术手段包括固件 / 系统分区植入和 Zygote 注入，作为 Android 根权限后门，成为后续供应链滥用的基础，相关研究可参考参考文献 10、11 和 14。

Triada (supply-chain) 活跃于 2017 年至 2019 年，属于预装恶意软件，参与者仍为 Yehuo 和 Blazefire，依托原始设备制造商及供应商生态系统运作。该阶段 Triada 转向供应链妥协模式，直接预装在低价 Android 设备中，相关研究可参考参考文献 10 和 11。

Triada (system backdoor) 活跃于 2019 年至今，属于持久化加载器，由上述同一批参与者（基于连续性推断）运作，关联相关背景的供应商生态系统。它通过系统分区实现持久化，成为支撑 BADBOX 的加载器平台，相关研究可参考参考文献 10、11 和 14。

BADBOX 1.0 活跃于 2023 年至 2024 年，属于 Android 欺诈 / 代理僵尸网络，涉及 SalesTracker Group、MoYu Group 和 Lemon Group 等实体。其基础设施包括被植入后门的 Android 电视及 AOSP 设备、命令与控制服务器，采用 Triada 衍生的加载器，主要用于代理流量和广告欺诈，相关研究可参考参考文献 7、8 和 9。

BADBOX 2.0 活跃于 2025 年至今，属于扩展型欺诈 / 代理僵尸网络，涉及 SalesTracker、MoYu、Lemon、LongTV 以及谷歌诉讼中提及的 1 至 25 号匿名被告。其基础设施覆盖全球 Android 设备、代理基础设施和恶意应用程序，是 BADBOX 的进化版本，控制数百万台设备并实现代理流量变现，相关研究可参考参考文献 7、8、9 和 15。

AstroLink (BADBOX 2.0) 活跃于约 2024 年至今，属于基础设施 / 商业实体，其业务涵盖主机托管、后端基础设施和供应链，同时运营 IPIDEA Proxy，是 KrebsOnSecurity 归因的 BADBOX 关联实体，基于开源情报确认，相关研究可参考参考文献 16。

#

Aisuru 活跃于 2024 年至 2026 年，属于 DDoS 僵尸网络，参与者代号为 Forky 和 Snow，其中 Snow 真实身份为德国的 Philip，Forky 据信位于巴西。其基础设施包括基于 DNS TXT 记录的命令与控制通道、物联网数字录像机和虚拟专用服务器，是核心的 Mirai 衍生僵尸网络，与 KimWolf 和 JackSkid 存在基础设施重叠，相关研究可参考参考文献 1、2 和 3。

KimWolf 活跃于 2025 年至 2026 年，属于兼具 DDoS 和代理功能的僵尸网络，参与者代号为 Snow/Lucy、Dort 和 Zerlokk，真实身份包括德国的 Philip、加拿大的 Jacob Butler 和 Oliver Bates（又名 OliKing800）。其基础设施包括 DigitalOcean 服务器、多阶段命令与控制通道、荷兰后端服务器，与 IPIDEA 存在重叠并使用 Byteconnect SDK，是连接 DDoS 和代理生态系统的关键节点，大量使用住宅代理，相关研究可参考参考文献 1、2、4 和 12。

JackSkid (RCtea) 活跃于 2025 年至 2026 年，属于 DDoS 僵尸网络，参与者代号为 JackSkid。其基础设施使用 Gen XYZ、Namecheap 和 Verisign 域名，与 Aisuru 共享基础设施，采用基于域名的命令与控制机制，相关研究可参考参考文献 1、2 和 3。

Mossad/MossadProxy 活跃于 2026 年，属于 DDoS 僵尸网络，参与者代号为 Snow，真实身份为德国的 Philip。其基础设施使用 Verisign 域名和俄罗斯主机托管服务，很可能是 Snow 与 KimWolf 其他合作伙伴分裂后创建的分支，相关研究可参考参考文献 1、2 和 3。

Cecilio 活跃于 2026 年，属于周边 DDoS 僵尸网络，采用 OpenNIC 或自定义命令与控制通道。根据诺基亚的研究，它属于同一相关生态系统，但并非美国司法部的核心打击目标，相关研究可参考参考文献 3。

RapperBot 活跃于 2021 年至 2025 年，属于 DDoS 出租僵尸网络，运营者为美国的 Ethan Foltz。其依托物联网僵尸网络基础设施运作，既是 Aisuru 的竞争对手也是合作者，对其代码谱系产生了影响，相关研究可参考参考文献 1 和 13。

IPIDEA 活跃于 2024 年至 2026 年，属于住宅代理网络，是大型代理生态系统。其基础设施包括代理软件开发工具包、虚拟专用网络应用和后端服务器，被超过 550 个威胁组织使用，与 BADBOX 和 KimWolf 生态系统存在大量重叠，相关研究可参考参考文献 5、6 和 12。

ByteConnect 活跃于 2025 年至 2026 年，属于代理软件开发工具包，以 ByteConnect 为品牌，同时关联 Plain Proxies 服务。其背后实体包括 Nir Levi、Triple Hitch Tech Ltd.、1xK Beteiligungsgesellschaft mbH 和 Friedrich Kräft。该工具包被嵌入应用和设备中，用于 KimWolf 节点的代理功能，并通过代理生态系统分发，相关研究可参考参考文献 4 和 12。

PlainProxies 活跃于 2025 年至 2026 年，属于代理服务提供商，背后实体为 Friedrich Kräft 运营的代理商业实体。其提供住宅和数据中心代理网络服务，与 ByteConnect 的分发渠道直接关联，是代理生态系统的变现层，相关研究可参考参考文献 12 和 16。

Maskify 活跃于 2026 年，属于代理 / DDoS 服务，以 Maskify 为品牌。其基础设施包括网页控制面板和租用的服务器，作为服务层向用户出售代理和僵尸网络访问权限，相关研究可参考参考文献 12 和 16。

3XK Tech GmbH 成立于 2026 年，属于开源情报背景下的公司实体，是与 Plain Proxies 关联的德国公司。它出现在 KrebsOnSecurity 和 Qurium 的研究集群中，是代理商业生态系统的组成部分，相关研究可参考参考文献 16。

ResHydra (Android Device Ecosystem) 活跃于 2024 年至今，属于为代理和僵尸网络提供设备供应的 Android 设备生态系统，参与者代号包括 Vo1d、Bigpanzi、Pandora 和 Keenadu。其基础设施涵盖廉价 Android 电视及 AOSP 设备、固件后门、安卓调试桥暴露端口和住宅 IP 池。诺基亚 Deepfield 将 ResHydra 描述为被入侵住宅设备的共享资源池，相关研究可参考参考文献 3、4、10 和 14。

参考文献

[1] FBI / DCIS Affidavit – Seizure of Botnet Infrastructure (Aisuru, KimWolf, JackSkid, Mossad) https://www.justice.gov/ (Filed case: 3:26-mj-00134-MMS – District of Alaska)

[2] U.S. Department of Justice – Authorities Disrupt World’s Largest IoT DDoS Botnets Responsible for Record-Breaking Attacks https://www.justice.gov/usao-ak/pr/authorities-disrupt-worlds-largest-iot-ddos-botnets-responsible-record-breaking-attacks

[3] Nokia Deepfield – Breaking a Botnet DDoS Enigma Code https://www.nokia.com/blog/breaking-a-botnet-ddos-enigma-code/ | https://github.com/deepfield

[4] XLab (Qianxin) – KimWolf Botnet Analysis Report https://blog.xlab.qianxin.com/kimwolf-botnet-en/

[5] Synthient – A Broken System Fueling Botnets https://synthient.com/blog/a-broken-system-fueling-botnets

[6] Google Threat Intelligence – Disrupting the Largest Residential Proxy Network (IPIDEA) https://cloud.google.com/blog/topics/threat-intelligence/disrupting-largest-residential-proxy-network

[7] FBI – Home Internet-Connected Devices Facilitate Criminal Activity (BADBOX 2.0 PSA) https://www.fbi.gov/investigate/cyber/alerts/2025/home-internet-connected-devices-facilitate-criminal-activity

[8] HUMAN Security – Satori Threat Intelligence: Disruption of BADBOX 2.0 https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/

[9] Google – Taking Legal Action Against the BADBOX 2.0 Botnet https://blog.google/innovation-and-ai/technology/safety-security/google-taking-legal-action-against-the-badbox-20-botnet/

[10] KrebsOnSecurity – Triada Malware (Tag Archive) https://krebsonsecurity.com/tag/triada-malware/

[11] KrebsOnSecurity – Tracing the Supply Chain Attack on Android https://krebsonsecurity.com/2019/06/tracing-the-supply-chain-attack-on-android-2/

[12] The Hacker News – Google Disrupts IPIDEA, One of the World’s Largest Residential Proxy Networks https://thehackernews.com/2026/01/google-disrupts-ipidea-one-of-worlds.html

[13] U.S. Department of Justice – Oregon Man Charged for Administering RapperBot DDoS-for-Hire Botnet https://www.justice.gov/usao-ak/pr/oregon-man-charged-administering-rapper-bot-ddos-hire-botnet

[14] Kaspersky – The Rise of the Triada Malware https://www.kaspersky.com/blog/rise-of-the-triada/

[15] HUMAN Security / Partners – BADBOX 2.0 Industry Collaboration (includes Trend Micro participation) https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/

[16] KrebsOnSecurity – Residential Proxies (Tag Archive; includes AstroLink, ByteConnect, PlainProxies research context) https://krebsonsecurity.com/tag/residential-proxies/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑鸟 1号员工 1号员工《住宅代理网络背后的僵尸网络故事》