DSLRoot、代理与“合法僵尸网络”的威胁

网络安全社区在Reddit上以难以置信的态度回应了一位自称拥有绝密安全许可的空军国民警卫队成员的情况——该成员与一家名为DSLRoot的公司达成协议，通过在其美国家中高速互联网连接上托管两台笔记本电脑，每月获得250美元报酬。本文深入调查了DSLRoot的历史与起源，这是最古老的“住宅代理”网络之一，其根源可追溯至俄罗斯和东欧。

关于DSLRoot的询问来自Reddit用户“Sacapoopie”，该用户未回应质询。尽管其在帖子中对其他Reddit网络安全爱好者的部分回复仍保留在讨论串中，但原问题已被删除。原帖内容已被archive.is存档，开头写道： “我一直在通过一家名为DSL root的住宅IP网络提供商获得每月250美元的收入，条件是在我家托管设备，”Sacapoopie写道。“它们与我们个人使用的网络是分开的。每条主机线路都有专线DSL连接至提供DSL覆盖的ISP。我家使用Starlink。我这样做是不是很愚蠢？它们就放在那里，而我因此获得报酬。公司还支付网络费用。”

许多Reddit用户表示他们认为Sacapoopie的帖子是个玩笑，并质疑任何具有网络安全背景和绝密（TS/SCI）许可的人会允许 shady 的住宅代理公司将硬件引入其网络。其他读者指出，Sacapoopie在过去两年中在网络安全子版块发布了多篇关于其在空军国民警卫队从事网络安全工作的帖子。

当被其他Reddit用户追问细节时，Sacapoopie将DSLRoot提供的设备描述为“只是两台通过有线方式连接到调制解调器的笔记本电脑，调制解调器再连接到墙上的DSL端口”。

“当我打开电脑时，看起来[他们]有某种自定义应用程序在运行，并生成几个cmd提示符，”该Reddit用户解释道。“从我所见只能推断他们在建立连接。”

当被问及如何结识DSLRoot时，Sacapoopie告诉另一位用户，他们是在社交媒体平台上看到广告后发现了这家公司并主动联系。

“这大概是5-6年前的事了，”Sacapoopie写道。“从那时起，我只与该公司的一名技术人员沟通，并在出现连接问题时协助排查。”

DSLRoot在回应评论请求时表示，其品牌因Reddit讨论而受到不公正的诋毁。该未署名邮件称DSLRoot对其目标和运营完全透明，并补充说其是在获得“区域代理”（该公司对像Sacapoopie这样的美国居民的称呼）完全同意的情况下运营。

“尽管我们支持诚实的新闻报道，但我们反对所有为制造廉价轰动而进行的‘低级别/误导性黄色新闻’，”DSLRoot在回复有关公司意图的问题时写道。“对我们来说很明显，无论谁在做这件事，要么缺乏对主题的适当理解，要么故意通过误导那些缺乏正确理解的人来获得曝光，”DSLRoot写道。

“我们监控客户并禁止任何与我们的住宅代理相关的非法活动，”DSLRoot继续写道。“我们真的不知道发Reddit帖子的人是军方人员。无论是试图支付租金的非裔老奶奶，还是想读完大学的白人孩子，只要他们能提供互联网线路或为我们托管手机——我们都欢迎。”

什么是DSLRoot？

DSLRoot在BlackHatWorld论坛上以DSLRoot和GlobalSolutions的名义作为住宅代理服务出售。该公司总部设在巴哈马，成立于2012年。该服务面向不在美国但希望看起来在美国的用户广告。DSLRoot付费给美国居民运行公司的硬件和软件——包括5G移动设备——作为回报，它将这些IP地址作为专用代理出租给世界任何地方的客户——价格为每月190美元，可无限制访问所有位置。

GlobalSolutions在BlackHatWorld上的账户列出了一个Telegram账户和一个墨西哥的WhatsApp号码。DSLRoot在营销机构digitalpoint.com上2010年的资料显示，其先前在该论坛的用户名是“Incorptoday”。GlobalSolutions在bitcointalk[.]org和roclub[.]com的用户账户包含电子邮件clickdesk@instantvirtualcreditcards[.]com。

DomainTools.com的被动DNS记录显示，instantvirtualcreditcards[.]com当时与少数几个域名共享主机——208.85.1.164——包括dslroot[.]com、regacard[.]com、4groot[.]com、residential-ip[.]com、4gemperor[.]com、ip-teleport[.]com、proxysource[.]net和proxyrental[.]net。

网络情报公司Intel 471发现GlobalSolutions于2016年在BlackHatWorld上注册，使用电子邮件地址prepaidsolutions@yahoo.com。该用户分享其生日为1984年3月7日。

论坛上几篇关于DSLRoot的负面评论指出，该服务由一位自称“USProxyKing”的BlackHatWorld用户运营。确实，Intel 471显示该用户在2013年告诉论坛成员通过Skype用户名“dslroot”联系他。

USProxyKing因在论坛上大量发布其住宅代理服务的广告而闻名，他还运营着一个“按安装付费”计划，每当他们的网站导致安装其未指定的“广告软件”程序（推测是将主机PC变为代理的程序）时，他向联盟会员支付少量佣金。在业务的另一端，USProxyKing以每次安装1美元的价格向希望分发可疑软件的其他人出售该按安装付费的访问权限。

Intel 471索引的私人消息显示，USProxyKing还从近20名不同的BlackHatWorld成员那里筹集资金，承诺他们在一家新企业中拥有股东地位，该企业将提供能够每分钟拨打2000通电话的机器人呼叫服务。

追踪泄露数据平台Constella Intelligence发现，GlobalSolutions用于在BlackHatWorld注册的同一IP地址也被用于在少数几个网站创建账户，包括WebHostingTalk上的一个GlobalSolutions用户账户，该账户提供了电子邮件地址incorptoday@gmail.com。同样注册到incorptoday@gmail.com的域名还有dslbay[.]com、dslhub[.]net、localsim[.]com、rdslpro[.]com、virtualcards[.]biz/cc和virtualvisa[.]cc。

回顾DSLRoot在digitalpoint.com上的资料先前名为Incorptoday。DomainTools表示incorptoday@gmail.com与近二十几个可追溯至2008年的域名相关联，包括incorptoday[.]com，该网站提供在包括特拉华州、佛罗里达州和内华达州在内的多个州注册公司的服务，价格从450美元到550美元不等。

正如我们在该网站2013年的存档副本中所见，IncorpToday还提供一项750美元的高级服务，允许客户的新公司拥有零售支票账户，且无需任何询问。

Global Solutions通过向客户提供预付卡来接入美国银行系统，这些卡可以加载当时在俄语国家流行的各种虚拟支付工具，包括WebMoney。这些卡余额限制为500美元，但非西方人士可以使用它们在各种西方公司匿名支付商品和服务。注册到incorptoday@gmail.com的另一个域名Cardnow[.]ru展示了这一点。

ANDREI HOLAS是谁？

注册到incorptoday@gmail.com的最古老域名（2008年）是andrei[.]me；另一个名为andreigolos[.]com。DomainTools表示，这些以及其他注册到该电子邮件地址的域名包含注册人姓名Andrei Holas，来自阿拉巴马州亨茨维尔。

公共记录显示Andrei Holas曾与其兄弟——Aliaksandr Holas——在阿拉巴马州的两个不同地址居住。这些记录表明Andrei Holas的生日是1984年3月，其兄弟稍年轻一些。弟弟未回应评论请求。

Andrei Holas在俄罗斯社交网络Vkontakte上使用电子邮件地址ryzhik777@gmail.com维护了一个账户，该地址出现在过去几年从俄罗斯政府实体黑客攻击和泄露的众多记录中。

这些记录表明Andrei Holas及其兄弟来自白俄罗斯，并曾一段时间在莫斯科保持一个地址（该地址距离俄罗斯FSB——克格勃的继任情报机构——总部大楼大约三个街区）。被黑客攻击的俄罗斯银行记录显示Andrei Holas的生日是1984年3月7日——与GlobalSolutions在BlackHatWorld上列出的出生日期相同。

ryzhik777@gmail.com在俄语论坛Ulitka上2010年的一篇帖子解释说，发帖人难以获得B1/B2签证前往美国探望其兄弟，尽管他先前已获得两次单独的访问签证和一次学生签证。目前尚不清楚Holas兄弟中的一个、两个还是都不再居住在美国。Andrei在2010年解释说他的兄弟是美国公民。

合法僵尸网络

我们都可以指责本应无疑更清楚不该安装来自陌生人的互联网硬件的军事人员，但事实上，如果有机会赚点钱，愿意转售其互联网连接的美国居民供应是无穷的。如今，有许多住宅代理提供商会让您觉得值得这样做。

传统上，住宅代理网络是使用恶意软件构建的，这些软件悄悄将受感染系统转变为流量中继，然后在阴暗的在线论坛上出售。大多数情况下，这种恶意软件与流行的破解软件和视频文件捆绑在一起，这些文件被上传到文件共享网络，并秘密将主机设备变成流量中继。事实上，USProxyKing曾吹嘘他仅通过这种方法每周就能实现数千次安装。

有许多住宅代理网络诱使用户将其未使用的带宽货币化（在此过程中邀请您违反ISP的服务条款）；其他如DSLRoot，则充当共享VPN，通过使用该服务，您默认可以访问其他代理（用户）的连接，但您也同意与他人共享您的连接。

确实，Intel 471的档案显示，GlobalSolutions和DSLRoot账户经常收到来自论坛用户的私人消息，这些用户是大学生或试图维持生计的年轻人。这些消息表明，许多DSLRoot的“区域代理”经常寻求佣金以推荐有兴趣转售其家庭互联网连接的朋友（DSLRoot会提出支付代理家庭互联网连接的月费）。

但在朝鲜黑客通过付费让人们在美国托管笔记本电脑农场无情地冒充西方IT工作者的时代，让陌生人在您的网络上运行笔记本电脑、移动设备或任何其他硬件，无论您处于生活的哪个阶段，似乎都是一个极其危险的举动。正如几位Reddit用户在Sacapoopie的讨论串中指出的那样，一名亚利桑那州妇女于2025年7月被判处102个月监禁，因为她托管了一个笔记本电脑农场，帮助朝鲜黑客在超过300家美国公司（包括财富500强公司）获得工作。

Lloyd Davies是伦敦安全初创公司Infrawatch的创始人，该公司追踪住宅代理网络。Davies表示，他逆向工程了DSLRoot代理服务的软件，发现它会回连到前面提到的域名proxysource[.]net，该网站销售一项承诺“让您的广告在多个城市上线而不会被禁止、标记或隐身”（推测是指CraigsList广告）的服务。

Davies表示，他发现DSLRoot安装程序具有远程控制多个供应商品牌的住宅网络设备的能力。

“该软件采用供应商特定的漏洞利用和硬编码的管理凭证，表明DSLRoot在部署前预配置设备，”Davies在今天发布的分析中写道。他表示，该软件执行WiFi网络枚举以识别附近的无线网络，从而“可能将目标能力扩展到主要互联网连接之外。”

尚不清楚USProxyKing具体何时被赶下王位，但DSLRoot及其代理产品已今非昔比。Davies表示，整个DSLRoot网络现在全国只有不到300个节点，主要是CenturyLink和Frontier等DSL提供商上的系统。

8月17日，GlobalSolutions在BlackHatWorld上发帖称，“我们正在通过降级为‘仅DSL’线路（无移动或电缆）来重组我们的商业模式。”通过电子邮件询问这些变化时，DSLRoot将其客户减少归咎于住宅代理服务的激增。

“如今，在这个利基市场竞争几乎变得不可能，因为每个人都在销售住宅代理，许多公司希望您在手机或桌面上安装一个软件，以便他们可以更大规模地转售您的住宅IP，”DSLRoot解释道。“所谓的‘合法僵尸网络’，正如我们所看到的。”