DSLRoot、代理服务与"合法僵尸网络"的威胁

网络安全社区在Reddit上对一名自称拥有绝密安全许可的空军国民警卫队成员表示质疑，该成员开始质疑他们与一家名为DSLRoot公司达成的安排——该公司每月支付250美元，让该Reddit用户在美国的高速互联网连接上接入两台笔记本电脑。本文考察了DSLRoot的历史和起源，这是最古老的"住宅代理"网络之一，起源于俄罗斯和东欧。

关于DSLRoot的询问来自Reddit用户"Sacapoopie"，该用户未回应提问。该用户后来从帖子中删除了原始问题，但他们对其他Reddit网络安全爱好者的部分回复仍保留在线程中。原始帖子被archive.is索引在这里，它以一个问题开始：

“我一直在通过一家名为DSL root的住宅IP网络提供商获得每月250美元的收入，让他们在我家托管设备，“Sacapoopie写道。“它们与我们个人使用的网络是分开的。它们有专门的DSL连接（每台主机一个）连接到提供DSL覆盖的ISP。我的家人使用Starlink。我这样做很愚蠢吗？它们只是放在那里，我就能得到报酬。公司还支付网络费用。”

许多Reddit用户表示，他们认为Sacapoopie的帖子是个笑话，没有一个具有网络安全背景和绝密（TS/SCI）许可的人会同意让某些可疑的住宅代理公司将硬件引入他们的网络。其他读者指出了Sacapoopie过去两年在网络安全子版块中关于他们在空军国民警卫队从事网络安全工作的多篇帖子。

当被其他Reddit用户追问更多细节时，Sacapoopie将DSLRoot提供的设备描述为"只是两台通过有线连接到调制解调器的笔记本电脑，然后连接到墙上的DSL端口。”

“当我打开电脑时，看起来[他们]有某种自定义应用程序在运行，并生成几个cmd提示符，“该Reddit用户解释道。“我能从其中看到的就是它们在建立连接。”

当被问及如何结识DSLRoot时，Sacapoopie告诉另一位用户，他们是在社交媒体平台上看到广告后发现这家公司并主动联系的。

“这大概是5-6年前的事了，“Sacapoopie写道。“从那时起，我只与该公司的一名技术人员沟通，并在出现连接问题时帮助排除故障。”

DSLRoot在回应评论时表示，由于那次Reddit讨论，其品牌受到了不公正的诋毁。这封未署名的电子邮件称，DSLRoot对其目标和运营完全透明，并补充说，它是在其"区域代理”（该公司对像Sacapoopie这样的美国居民的称呼）完全同意的情况下运营的。

“尽管我们支持诚实的新闻业，但我们反对所有为了廉价炒作而进行的’低级/误导性黄色新闻’，“DSLRoot在回复中写道。“对我们来说很明显，无论谁这样做，要么缺乏对主题的适当理解，要么是故意通过误导那些缺乏适当理解的人来获得曝光，“DSLRoot在回答关于公司意图的问题时写道。

“我们监控我们的客户，并禁止任何与我们的住宅代理相关的非法活动，“DSLRoot继续说道。“我们真的不知道发Reddit帖子的人是个军人。无论是试图支付租金的非裔美国老奶奶，还是试图读完大学的白人孩子，只要他们能提供互联网线路或为我们托管手机——我们都没问题。”

什么是DSLRoot？

DSLRoot在BlackHatWorld论坛上以DSLRoot和GlobalSolutions的名义作为住宅代理服务出售。该公司总部设在巴哈马，成立于2012年。该服务面向不在美国但希望看起来像在美国的人进行广告宣传。DSLRoot支付在美国的人运行公司的硬件和软件——包括5G移动设备——作为回报，它将这些IP地址作为专用代理出租给世界任何地方的客户——价格为每月190美元，可无限制访问所有位置。

BlackHatWorld上的GlobalSolutions账户列出了一个Telegram账户和一个墨西哥的WhatsApp号码。DSLRoot在营销机构digitalpoint.com上2010年的个人资料显示，他们之前在论坛上的用户名是"Incorptoday”。bitcointalk[.]org和roclub[.]com上的GlobalSolutions用户账户包括电子邮件clickdesk@instantvirtualcreditcards[.]com。

DomainTools.com的被动DNS记录显示，instantvirtualcreditcards[.]com当时与少数几个域名共享一个主机——208.85.1.164——包括dslroot[.]com、regacard[.]com、4groot[.]com、residential-ip[.]com、4gemperor[.]com、ip-teleport[.]com、proxysource[.]net和proxyrental[.]net。

网络情报公司Intel 471发现GlobalSolutions于2016年在BlackHatWorld上使用电子邮件地址prepaidsolutions@yahoo.com注册。该用户分享说他们的生日是1984年3月7日。

论坛上几篇关于DSLRoot的负面评论指出，该服务由一位自称"USProxyKing"的BlackHatWorld用户运营。事实上，Intel 471显示该用户在2013年告诉论坛成员通过Skype用户名"dslroot"联系他。

USProxyKing以在论坛上大量发布其住宅代理服务的广告而闻名，并且他运营着一个"按安装付费"计划，每当他们的网站导致安装其未指定的"广告软件"程序（可能是一个将主机PC变成代理的程序）时，他就会向联盟会员支付少量佣金。在业务的另一端，USProxyKing以每次安装1美元的价格向其他希望分发可疑软件的人出售该按安装付费的访问权限。

由Intel 471索引的私人消息显示，USProxyKing还从近20名不同的BlackHatWorld成员那里筹集资金，这些成员被承诺在一家新企业中拥有股东地位，该企业将提供能够每分钟拨打2000个电话的自动呼叫服务。

追踪泄露数据平台Constella Intelligence发现，GlobalSolutions用于在BlackHatWorld注册的同一IP地址也被用于在少数几个网站创建账户，包括WebHostingTalk上的一个GlobalSolutions用户账户，该账户提供了电子邮件地址incorptoday@gmail.com。同样注册到incorptoday@gmail.com的域名有dslbay[.]com、dslhub[.]net、localsim[.]com、rdslpro[.]com、virtualcards[.]biz/cc和virtualvisa[.]cc。

回想一下，DSLRoot在digitalpoint.com上的个人资料以前名为Incorptoday。DomainTools表示，incorptoday@gmail.com与近二十个可追溯到2008年的域名相关联，包括incorptoday[.]com，这是一个提供在多个州（包括特拉华州、佛罗里达州和内华达州）注册公司服务的网站，价格从450美元到550美元不等。

正如我们在该网站2013年的存档副本中看到的那样，IncorpToday还提供一项750美元的高级服务，允许客户的新公司拥有一个零售支票账户，且无需询问任何问题。

Global Solutions通过向客户提供预付卡来接入美国银行系统，这些卡可以加载当时在俄语国家流行的各种虚拟支付工具，包括WebMoney。这些卡的余额限制在500美元，但非西方人可以匿名使用它们在各种西方公司支付商品和服务。另一个注册到incorptoday@gmail.com的域名Cardnow[.]ru展示了这一操作。

2013年Incorptoday网站的一个副本向非美国居民提供一项服务，即在佛罗里达、特拉华或内华达注册公司，并附带一个无需询问的支票账户，费用为750美元。

ANDREI HOLAS是谁？

注册到incorptoday@gmail.com的最古老域名（2008年）是andrei[.]me；另一个叫做andreigolos[.]com。DomainTools表示，这些以及其他注册到该电子邮件地址的域名包含注册人姓名Andrei Holas，来自阿拉巴马州亨茨维尔。

公共记录显示，Andrei Holas曾与他的兄弟——Aliaksandr Holas——在阿拉巴马州的两个不同地址居住。这些记录表明Andrei Holas的生日是1984年3月，他的兄弟稍年轻一些。弟弟没有回应置评请求。

Andrei Holas在俄罗斯社交网络Vkontakte上维护了一个账户，使用的电子邮件地址是ryzhik777@gmail.com，该地址出现在过去几年从俄罗斯政府实体黑客攻击和泄露的大量记录中。

这些记录表明，Andrei Holas和他的兄弟来自白俄罗斯，并曾在莫斯科保留一个地址一段时间（该地址距离俄罗斯联邦安全局（FSB，克格勃的继任情报机构）总部大约三个街区）。被黑客攻击的俄罗斯银行记录显示，Andrei Holas的生日是1984年3月7日——与GlobalSolutions在BlackHatWorld上列出的出生日期相同。

ryzhik777@gmail.com在俄语论坛Ulitka上2010年的一篇帖子解释说，发帖人难以获得B1/B2签证去美国探望他的兄弟，尽管他之前曾获得两次单独的访问签证和一次学生签证。目前尚不清楚Holas兄弟中的一个、两个还是都不再居住在美国。Andrei在2010年解释说他的兄弟是美国公民。

合法僵尸网络

我们都可以指责那些无疑应该知道比从陌生人那里安装互联网硬件更明智的军事人员，但事实上，有源源不断的美国居民愿意转售他们的互联网连接，如果这意味着他们可以从中赚点钱的话。如今，有很多住宅代理提供商会让你的付出物有所值。

传统上，住宅代理网络是使用恶意软件构建的，这些软件悄悄地将受感染系统转变为流量中继，然后在阴暗的在线论坛上出售。大多数情况下，这种恶意软件与流行的破解软件和视频文件捆绑在一起，这些文件被上传到文件共享网络，并秘密地将主机设备变成流量中继。事实上，USProxyKing曾吹嘘他仅通过这种方法每周就能实现数千次安装。

有许多住宅代理网络诱使用户将其未使用的带宽货币化（在此过程中邀请你违反ISP的服务条款）；其他网络，如DSLRoot，充当公共VPN，通过使用该服务，你默认可以访问其他代理（用户）的连接，但你也同意与他人共享你的连接。

事实上，Intel 471的档案显示，GlobalSolutions和DSLRoot账户经常收到来自论坛用户的私人消息，这些用户是大学生或试图维持生计的年轻人。这些信息表明，许多DSLRoot的"区域代理"经常寻求佣金，以推荐有兴趣转售其家庭互联网连接的朋友（DSLRoot愿意支付代理家庭互联网连接的月费）。

但在朝鲜黑客通过支付人们在美国托管笔记本电脑农场来无情地冒充西方IT工人的时代，让陌生人在你的网络上运行笔记本电脑、移动设备或任何其他硬件，无论你的生活状况如何，似乎都是一个极其冒险的举动。正如几位Reddit用户在Sacapoopie的帖子中指出的那样，一名亚利桑那州女子于2025年7月被判处102个月监禁，因为她托管了一个笔记本电脑农场，帮助朝鲜黑客在300多家美国公司（包括财富500强公司）获得工作。

Lloyd Davies是总部位于伦敦的安全初创公司Infrawatch的创始人，该公司追踪住宅代理网络。Davies表示，他逆向工程了支持DSLRoot代理服务的软件，发现它回连到前面提到的域名proxysource[.]net，该网站销售一项服务，承诺"让你的广告在多个城市上线而不会被禁止、标记或隐藏”（大概是指CraigsList广告）。

Davies表示，他发现DSLRoot安装程序能够远程控制多个供应商品牌的住宅网络设备。

“该软件采用供应商特定的漏洞利用和硬编码的管理凭证，表明DSLRoot在部署前预配置了设备，“Davies在今天发布的一份分析报告中写道。他说，该软件执行WiFi网络枚举以识别附近的无线网络，从而"可能将目标能力扩展到主要互联网连接之外。”

目前尚不清楚USProxyKing具体何时被赶下台，但DSLRoot及其代理产品已今非昔比。Davies表示，整个DSLRoot网络现在在全国范围内只有不到300个节点，主要是CenturyLink和Frontier等DSL提供商上的系统。

8月17日，GlobalSolutions在BlackHatWorld上发帖称：“我们正在重组我们的商业模式，降级为’仅DSL’线路（无移动或电缆）。“通过电子邮件询问这些变化时，DSLRoot将其客户减少归咎于住宅代理服务的激增。

“如今，在这个利基市场竞争几乎变得不可能，因为每个人都在出售住宅代理，许多公司希望你在手机或桌面上安装一个软件，以便他们可以更大规模地转售你的住宅IP，“DSLRoot解释道。“所谓的’合法僵尸网络’，正如我们所看到的。”