Mobile Proxy nguy hiểm: Hạ tầng ProxySmart lộ diện

tin tức bảo mật về hệ sinh thái mobile proxy quy mô công nghiệp cho thấy ProxySmart đang được dùng như một control plane chung cho hàng loạt SIM farm. Hệ thống này kết nối 87 control panel công khai và ít nhất 94 vị trí đặt phần cứng, tạo nền tảng cho gian lận, bot activity và né định danh ở quy mô thương mại.

Kiến trúc ProxySmart trong hệ sinh thái mobile proxy

Cuộc điều tra của Infrawatch trong tháng 2/2026 xác định phía sau các dịch vụ tự xưng “SIM Farm as a Service” là các rack điện thoại thật và modem 4G/5G được đấu nối trực tiếp vào mạng nhà mạng. Phần lớn hạ tầng này dùng chung một nền tảng phần mềm có tên ProxySmart, được triển khai như control plane để quản lý thiết bị, xoay vòng IP, cấp tài khoản khách hàng, áp chính sách gói cước và cơ chế chống bot.

ProxySmart được bán theo mô hình tính phí trên từng SIM. Mô hình này biến hạ tầng vật lý thành dịch vụ hoàn chỉnh, giảm đáng kể rào cản vận hành cho các nhà cung cấp proxy di động. Theo dữ liệu thu thập, có 87 instance của control panel bị lộ ra Internet, liên quan đến ít nhất 24 nhà cung cấp proxy thương mại và 35 nhà mạng trên toàn cầu.

Đặc điểm kỹ thuật của nền tảng mobile proxy

Hệ thống hỗ trợ cả smartphone vật lý và USB 4G/5G modem. Với farm chạy trên điện thoại, thiết bị được đăng ký qua một APK Android không ký số. Điểm đáng chú ý của ProxySmart là cơ chế OS fingerprint spoofing, cho phép giả lập dấu vết TCP/IP stack của macOS, iOS, Windows hoặc Android. Điều này làm suy giảm hiệu quả của các phương pháp phát hiện dựa trên fingerprint trong hệ thống chống gian lận.

Nền tảng còn hỗ trợ nhiều giao thức tunneling, gồm OpenVPN, SOCKS5, VLESS và HTTP proxy. Tài liệu nguồn có dẫn tới thông tin về OpenVPN tại OpenVPN vulnerabilities. Trong bối cảnh này, VLESS được nhắc đến như một giao thức thường dùng cho vượt kiểm duyệt.

Cơ chế xoay IP và tác động lên phát hiện tấn công

Mobile proxy đặc biệt khó kiểm soát khi hoạt động sau carrier-grade NAT (CGNAT). Một địa chỉ IP có thể được chia sẻ cho nhiều người dùng hợp lệ, khiến biện pháp chặn theo IP trở nên kém hiệu quả. Khi cần thay đổi địa chỉ, farm chỉ cần tắt chế độ máy bay trong vài giây để nhà mạng cấp lại IP mới. Cơ chế này làm tăng khó khăn cho phát hiện xâm nhập và kiểm soát lưu lượng theo dấu vết mạng truyền thống.

Phạm vi nhà mạng được ghi nhận trải rộng trên nhiều thị trường lớn như AT&T, Verizon, T-Mobile, Vodafone, EE, O2, Deutsche Telekom, Telstra, Rogers và hơn 30 nhà mạng khác ở Mỹ, châu Âu, Australia và Mỹ Latinh. Việc đa nhà mạng và xoay IP nhanh là đặc tính cốt lõi khiến hạ tầng mobile proxy này khó bị vô hiệu hóa bằng chính sách chặn đơn lẻ.

Phạm vi triển khai của hệ thống mobile proxy

Infrawatch xác định dấu chân hạ tầng tại ít nhất 94 địa điểm vật lý ở Bắc Mỹ, châu Âu và Nam Mỹ. Riêng tại Mỹ, hệ thống xuất hiện tập trung ở 19 bang, gồm California, Texas, Maine và Delaware. Danh sách 17 quốc gia có hiện diện gồm:

• United States
• Canada
• United Kingdom
• Germany
• Spain
• Portugal
• Ukraine
• Latvia
• France
• Romania
• Brazil
• Ireland
• Netherlands
• Australia
• Italy
• Poland
• Georgia

Trong một trường hợp được nêu, EXIF metadata trong ảnh đăng tải công khai đã làm lộ vị trí triển khai đến New York. Đây là ví dụ điển hình cho việc cấu hình quản trị và xuất bản nội dung thiếu kiểm soát có thể khiến hạ tầng mobile proxy bị định vị ngược.

Rủi ro bảo mật từ mobile proxy

Hệ sinh thái này có thể hỗ trợ nhiều hoạt động bất hợp pháp ở quy mô công nghiệp, nhưng trọng tâm kỹ thuật nằm ở việc nó hạ thấp rào cản vận hành hạ tầng proxy di động. Các nhà cung cấp được khảo sát hiếm khi áp dụng xác minh KYC nghiêm ngặt; một số còn công khai quảng bá yêu cầu zero KYC. Điều đó khiến quyền truy cập vào hạ tầng nhà mạng toàn cầu có thể được mua bởi bất kỳ bên nào có phương thức thanh toán.

Sự kết hợp giữa CGNAT, xoay IP nhanh, khả năng dùng đa nhà mạng và spoofing fingerprint hệ điều hành tạo ra một lớp hạ tầng khó phát hiện đối với các cơ chế bảo vệ dựa trên IP. Với các đội ngũ chống gian lận và an ninh viễn thông, đây là rủi ro an toàn thông tin kéo dài vì các chỉ báo truyền thống không còn đủ để nhận diện lưu lượng bất thường.

IOC liên quan đến hạ tầng ProxySmart

• 87 control panel ProxySmart bị lộ trên Internet
• Ít nhất 94 địa điểm đặt farm vật lý
• Ít nhất 24 nhà cung cấp proxy thương mại liên quan
• 35 nhà mạng di động được ghi nhận trong footprint
• APK Android không ký số dùng để đăng ký thiết bị
• EXIF metadata trong ảnh công khai làm lộ vị trí triển khai

Bối cảnh kỹ thuật và dấu hiệu vận hành

Infrawatch cho biết hệ sinh thái này làm giảm đáng kể rào cản kỹ thuật và vận hành đối với việc triển khai mobile proxy. Nền tảng cung cấp bộ công cụ gần như hoàn chỉnh: quản lý thiết bị, phân bổ khách hàng, kiểm soát gói cước, xoay vòng IP và giả lập fingerprint hệ điều hành. Trong thực tế, đây là một dạng hạ tầng thương mại hóa cho phép mở rộng nhanh mà không cần xây dựng từ đầu.

Phát hiện này cũng cho thấy các biện pháp chặn dựa trên IP đơn lẻ, hay các kiểm soát chỉ dựa trên fingerprint mạng, đều có giới hạn trước một hệ thống được thiết kế để thay đổi địa chỉ, đa dạng hóa môi trường và hợp thức hóa lưu lượng thông qua mạng di động thật. Với những hệ thống cần phát hiện tấn công hoặc kiểm tra tin cậy, việc đối chiếu thêm tín hiệu thiết bị, hành vi và xác thực nhiều lớp là bắt buộc.

Thông tin nền tham khảo: NVD – National Vulnerability Database