Thought Leadership
Die Google Threat Intelligence Group hat gemeinsam mit Partnern das IPIDEA-Netzwerk stillgelegt, über das Millionen infizierter Geräte für Cyberkriminalität und Spionage missbraucht wurden.
Die Google Threat Intelligence Group (GTIG) hat nach eigenen Angaben eines der weltweit größten illegalen Residential-Proxy-Netzwerke ausgehoben. Das unter dem Namen IPIDEA operierende Netzwerk verschaffte sich unerlaubten Zugang zu Millionen von Endgeräten, darunter Smartphones, Set-Top-Boxen und Desktop-PCs, und verkaufte den Zugriff darauf an Cyberkriminelle und staatlich unterstützte Hackergruppen.
Residential-Proxy-Netzwerke sind Systeme, die den Internetverkehr über die Internetanschlüsse von Privatpersonen umleiten. Im Gegensatz zu normalen Proxys oder VPNs, die über Rechenzentren laufen, nutzen diese Netzwerke echte Heimnetzwerke mit “residential” IP-Adressen, also Adressen, die von normalen Internet-Providern an Privathaushalte vergeben werden.
Infrastruktur für Angreifer aus aller Welt
Laut GTIG fungierte IPIDEA als zentrale Drehscheibe für zahlreiche Botnetze. Die Infrastruktur wurde von Hunderten Hackergruppen genutzt, um ihre Aktivitäten zu verschleiern. Darunter befanden sich APT-Gruppen (Advanced Persistent Threats) sowie staatlich geförderte Akteure aus China, Nordkorea, Iran und Russland. Die Angreifer nutzten das Netzwerk für alles von Cyberspionage über Informationsoperationen bis hin zu klassischer Cyberkriminalität.
Google hat mittlerweile rechtliche Schritte eingeleitet, um die Infrastruktur abzuschalten, und seine Erkenntnisse mit anderen Plattformanbietern geteilt. Nutzer von Android-Geräten werden durch ein Update von Google Play Protect automatisch vor Apps mit IPIDEA-Code gewarnt. Auf zertifizierten Android-Geräten entfernt das System die schädlichen Anwendungen und blockiert künftige Installationsversuche.
So funktionierte das IPIDEA-Netzwerk
IPIDEA setzte auf einen zweigleisigen Ansatz: Einerseits bezahlte das Netzwerk App-Entwickler dafür, Proxy-Code in beliebten Spielen und Hilfsprogrammen zu verstecken. Nutzer, die solche Apps installierten, wurden unwissentlich Teil des Proxy-Netzwerks. Die entsprechenden SDKs wurden als Monetarisierungslösung vermarktet und sind mit Android, Windows, iOS und WebOS kompatibel.
Andererseits bot IPIDEA eigenständige Apps an, die Nutzern versprachen, durch die Freigabe ihrer “ungenutzten Bandbreite” Geld zu verdienen. Parallel dazu vermarktete IPIDEA seine Dienste aggressiv in Untergrundforen, vor allem an Cyberkriminelle, die nicht zurückverfolgbare Angriffe durchführen wollten.
Massive Sicherheitsrisiken für Heimnetzwerke
“Residential Proxys sind zu einem weit verbreiteten Werkzeug für alles geworden, von hochkarätiger Spionage bis hin zu massiven kriminellen Machenschaften”, erklärt John Hultquist, Chefanalyst der GTIG. Da der Datenverkehr über echte private Internetanschlüsse läuft, erscheint er als legitimer Heimnetzwerk-Traffic und ist für Sicherheitssysteme kaum zu identifizieren.
Die kompromittierten Geräte teilen nicht einfach nur Bandbreite. Sie können als digitale Hintertür ins gesamte Heimnetzwerk dienen und Angreifern Zugriff auf Laptops, Kameras oder Smart-Home-Geräte ermöglichen, die im selben WLAN eingebunden sind.
Laut GTIG wurden allein in einer Woche im Januar 2026 staatlich geförderte Akteure aus vier Ländern dabei erwischt, wie sie die IPIDEA-Infrastruktur für Einbrüche in SaaS-Umgebungen und Passwort-Spraying-Angriffe nutzten.
