Skip to content
[ root@retasan:~# Tuesday, Jul 14, 2026 ]

> Retasan_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Malware Exploit Development Kebijakan Keamanan Cyberwarfare Tools Data Breach Iklan
Malware

Lurking Lizard: Aplikasi VPN dan 7-Zip Palsu Jadikan Korban sebagai Residential Proxy Node

// by retasan-news July 14, 2026 6 min read

Tim riset keamanan Infoblox telah mengungkap operasi kriminal berskala besar bernama Lurking Lizard yang berjalan selama bertahun-tahun dengan menggunakan aplikasi VPN dan 7-Zip palsu untuk mengubah perangkat korban menjadi residential proxy node. Dalam operasi ini, perangkat yang terinfeksi akan digunakan untuk merutekan lalu lintas internet pihak lain melalui koneksi korban, sehingga lalu lintas tersebut seolah-olah berasal dari alamat IP korban. Model bisnis ini menjual akses ke jaringan proxy kepada penjahat siber lainnya, sementara korban sama sekali tidak menyadari bahwa perangkat mereka sedang dimanfaatkan.

Infoblox memetakan lebih dari 230 domain yang terkait dengan aktor ancaman ini melalui analisis DNS dan infrastruktur. Portofolio domain mencakup segala aspek operasi: domain mirip yang menyamar sebagai software legal seperti 7-Zip, VPN populer, dan layanan seperti HeroSMS. Domain lain menyamar sebagai layanan proxy itu sendiri, termasuk IPIDEA, SmartProxy, IP Royal, dan 911Proxy. Lurking Lizard juga menjalankan apa yang tampak seperti situs review proxy independen, termasuk proxyreviews[.]org, untuk mengarahkan traffic ke storefront milik mereka sendiri. Situs review tersebut tampak independen, padahal tidak.

Salah satu contoh yang paling meyakinkan adalah domain smartproxy[.]org yang menyajikan dirinya sebagai layanan proxy budget yang menawarkan akses ke 100 juta alamat IP residential. Domain ini milik Lurking Lizard, bukan milik perusahaan Smartproxy yang asli. Decodo, pemilik smartproxy[.].com yang legitimate, secara publik menyinggung domain squatter ini. Yang menarik adalah domain palsu ini cukup meyakinkan hingga sempat menipu para peneliti Infoblox sendiri selama investigasi.

Pivot paling berguna dalam investigasi datang dari URL hardcoded di dalam sample malware, yang menunjuk ke IPLogger — sebuah layanan visitor-tracking yang legitimate. URL tersebut muncul di berbagai payload berbeda yang mencakup bertahun-tahun: installer 7-Zip palsu, tools yang secara palsu mengklaim dapat mengunduh video dari TikTok dan YouTube, serta varian WireVPN baik versi lama maupun terbaru. Aktor kriminal menggunakan layanan pihak ketiga yang legitimate sebagai telemetry beacon untuk menghindari pemeliharaan infrastruktur tracking sendiri.

Data registrasi WHOIS menunjuk ke China. Nama registrant “Cheng Li” menghubungkan domain 7-Zip palsu dengan cluster domain layanan proxy mirip. Varian nama yang di-shuffle muncul di registrasi terkait: Li Hao Cheng, Li Cheng Liang, Zhang Cheng Li. Nomor telepon dalam data registrasi membawa kode negara dan kode area yang menempatkan registrant di Wuhan, China, jika datanya akurat.

Campaign 7-Zip palsu telah berevolusi menjadi WireVPN — layanan VPN dengan website sendiri, aplikasi Windows dan macOS, serta listing di Apple App Store dan Google Play. Aplikasi Android-nya telah di-download lebih dari satu juta kali dan memiliki lebih dari 34.000 review. Sample Windows ditandatangani dengan valid code signing certificate yang diterbitkan untuk WEILAI NETWORK TECHNOLOGY CO., LIMITED, entitas yang didaftarkan di Inggris. Keterus-lanjutan antara campaign lama dan baru terlihat dari kode: di mana malware 7-Zip menginstal file bernama hero.exe dan uphero.exe ke C:\Windows\SysWOW64\hero, WireVPN menginstal wire.exe dan upwire.exe ke C:\Windows\SysWOW64\wire — struktur yang sama, nama yang berbeda.

Ketika Infoblox menganalisis perilaku jaringan WireVPN, aplikasi ini tidak terlihat seperti VPN. Segera setelah diluncurkan, client mengirim ping request ke sejumlah besar IP yang didistribusikan secara global, tampaknya untuk membangun pool node yang tersedia. Alih-alih membentuk satu tunnel stabil ke endpoint tetap seperti yang diharapkan dari aplikasi VPN, WireVPN mempertahankan multiple concurrent connections ke berbagai host. Secara praktis, lalu lintas orang lain keluar melalui alamat IP siapa pun yang menginstal aplikasi ini.

Ben Brundage dari Synthient, sebuah firma fraud intelligence, menjelaskan supply chain-nya kepada Infoblox: layanan proxy komersial memperbesar pool mereka dengan membeli bandwidth dari reseller, dan aktor kecil seperti Lurking Lizard menggabungkan pool perangkat mereka yang compromised dengan upstream provider seperti IPIDEA atau Kookeey untuk menawarkan apa yang mereka pasarkan sebagai unlimited residential proxy pool. Perangkat korban menyediakan bahan mentah. Domain mirip menjual akses ke dalamnya. Situs review palsu menghasilkan traffic ke storefront tersebut.

Analisa Retasan

Analisa ini mengungkap beberapa temuan penting yang perlu diperhatikan. Pertama, operasi Lurking Lizard menunjukkan maturation model dalam bisnis cybercrime yang semakin sophisticated. Ini bukan sekadar malware distribution biasa — ini adalah full-stack criminal business yang mencakup setiap lapisan dari victim acquisition (distribusi malware melalui software palsu), monetization (penjualan akses proxy), hingga marketing (situs review palsu untuk mengarahkan traffic). Pola bisnis ini mirip dengan operasi legitimate, dan justru itulah yang membuatnya sangat efektif dan sulit dideteksi.

Kedua, penggunaan IPLogger sebagai telemetry beacon menunjukkan bahwa attacker semakin pintar dalam memanfaatkan layanan legitimate untuk operasi mereka. Dengan menggunakan service yang sudah ada dan tidak mencurigakan, mereka menghindari risiko yang terkait dengan pemeliharaan infrastruktur tracking sendiri — yang bisa menjadi pivot point bagi para peneliti keamanan. Pendekatan ini memperumit investigasi karena traffic ke IPLogger tampak seperti traffic normal ke layanan analytics.

Ketiga, fakta bahwa WireVPN tersedia di Google Play dan Apple App Store dengan lebih dari satu juta download menunjukkan bahwa app store review process masih belum efektif dalam mendeteksi aplikasi yang berfungsi sebagai malware terselubung. Aplikasi ini memberikan cukup fungsionalitas untuk terlihat legitimate — koneksi VPN yang berfungsi — sementara di belakang layar berfungsi sebagai exit node untuk lalu lintas pihak ketiga. Model seperti ini sangat sulit dideteksi oleh review process karena tidak ada fungsi malicious yang eksplisit yang terlihat dari behavior analysis konvensional.

Keempat, dampak terhadap korban sangat beragam dan serius. Perangkat yang menjadi residential proxy node tanpa sepengetahuan pemiliknya dapat digunakan untuk berbagai aktivitas ilegal — dari credential stuffing dan ad fraud hingga penjualan akses ke aktor ancaman yang lebih berbahaya. Pemilik perangkat juga berpotensi menghadapi konsekuensi hukum karena aktivitas ilegal yang dilakukan melalui alamat IP mereka. Di Indonesia, di mana banyak pengguna menginstal VPN dari sumber yang tidak selalu verified, risiko ini sangat nyata.

Kelima, evolusi dari 7-Zip palsu ke WireVPN menunjukkan pola operasi kriminal yang berkelanjutan dan adaptif. Aktor ini sudah beroperasi sejak setidaknya Agustus 2022 dan terus berevolusi produk mereka. Code signing certificate dari entitas Inggris menambahkan lapisan legitimasi yang meyakinkan, meskipun entitas tersebut kemungkinan hanya merupakan shell company yang didirikan untuk tujuan ini. Kemampuan untuk mengoperasikan selama bertahun-tahun tanpa intervensi yang signifikan dari pihak berwenang menunjukkan gap dalam penegakan hukum siber internasional.

Lurking Lizard mengoperasikan full-stack criminal business — dari distribusi malware hingga penjualan akses proxy dan pembuatan situs review palsu. Aplikasi WireVPN yang tersedia di Play Store dengan satu juta download membuktikan bahwa app store review masih belum efektif mendeteksi malware terselubung.

Rekomendasi mitigasi: pengguna harus selalu mengunduh software dari situs resmi — 7-Zip resmi berada di 7-zip.org, bukan 7zip.com. Hindari menginstal VPN dari developer yang tidak dikenal atau dengan review yang mencurigakan. Periksa apakah perangkat mengirimkan lalu lintas yang tidak wajar dengan monitoring network traffic. Organisasi harus mempertimbangkan deployment network monitoring yang dapat mendeteksi anomali koneksi seperti multiple concurrent connections ke berbagai endpoint yang tidak biasa.

Sumber: Security Affairs — Fake VPN and 7-Zip Apps Turn Victims Into Residential Proxy Nodes

Tags: 7-Zip Fake VPN Infoblox Lurking Lizard Residential Proxy Supply Chain WireVPN
Share:

retasan-news

← Previous GhostApproval: AI Coding Tools Ditipu untuk Hack Developer Machine Melalui Teknik Symlink Klasik

Artikel Terkait

JADEPUFFER: Serangan Ransomware AI-Driven yang Memanfaatkan AI Agent untuk Otomatisasi Full Kill Chain

JADEPUFFER: Serangan Ransomware AI-Driven yang Memanfaatkan AI Agent untuk Otomatisasi Full Kill Chain

July 14, 2026
HalluSquatting: Serangan Baru Memanfaatkan Halusinasi AI Coding Assistant untuk Install Botnet Malware

HalluSquatting: Serangan Baru Memanfaatkan Halusinasi AI Coding Assistant untuk Install Botnet Malware

July 14, 2026
Glitch SPY: Android RAT Baru dengan 70+ Command yang Didistribusikan melalui Aplikasi Sewa Palsu Polandia

Glitch SPY: Android RAT Baru dengan 70+ Command yang Didistribusikan melalui Aplikasi Sewa Palsu Polandia

July 14, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.