DSLRoot、代理服务与“合法僵尸网络”的威胁

网络安全社区在Reddit上以难以置信的态度回应了本月事件：一名自称拥有绝密安全许可的空军国民警卫队成员开始质疑他们与一家名为DSLRoot公司达成的安排，该公司每月支付250美元，让该Reddit用户在美国的高速互联网连接上接入两台笔记本电脑。本文考察了DSLRoot的历史和起源，这是最古老的“住宅代理”网络之一，其起源可追溯到俄罗斯和东欧。

关于DSLRoot的询问来自Reddit用户“Sacapoopie”，该用户未回应提问。该用户后来从帖子中删除了原始问题，尽管他们对其他Reddit网络安全爱好者的部分回复仍保留在讨论串中。原始帖子被archive.is存档于此，它以一个问题开始：

“我一直在通过一家名为DSL root的住宅IP网络提供商获得每月250美元的报酬，让他们在我家托管设备，”Sacapoopie写道。“它们与我们个人使用的网络是分开的。它们有专门的DSL连接（每台主机一个）连接到提供DSL覆盖的ISP。我的家人使用Starlink。我这样做很愚蠢吗？它们只是放在那里，我就得到报酬。公司还支付网费。”

许多Reddit用户表示他们认为Sacapoopie的帖子是个笑话，没有人会在拥有网络安全背景和绝密（TS/SCI）许可的情况下，同意让一些可疑的住宅代理公司将硬件引入其网络。其他读者指出Sacapoopie在过去两年中在网络安全子版块上发布了大量关于他们在空军国民警卫队从事网络安全工作的帖子。

当被其他Reddit用户追问更多细节时，Sacapoopie将DSLRoot提供的设备描述为“只是两台通过有线连接到调制解调器的笔记本电脑，然后连接到墙上的DSL端口。”

“当我打开电脑时，看起来[他们]有某种自定义应用程序在运行，并生成几个cmd提示符，”该Reddit用户解释道。“我能从看到的内容推断的是，它们正在建立连接。”

当被问及如何结识DSLRoot时，Sacapoopie告诉另一位用户，他们是在社交媒体平台上看到广告后发现该公司并主动联系的。

“这大概是5-6年前的事了，”Sacapoopie写道。“从那时起，我只与该公司的一名技术人员沟通，并在出现连接问题时帮助排除故障。”

DSLRoot在回应评论时表示，由于那次Reddit讨论，其品牌受到了不公正的诋毁。这封未署名的电子邮件称，DSLRoot对其目标和运营完全透明，并补充说，它是在其“区域代理”（该公司对像Sacapoopie这样的美国居民的称呼）完全同意的情况下运营的。

“尽管我们支持诚实的新闻业，但我们反对所有为了廉价炒作而进行的‘低级别/误导性黄色新闻’，”DSLRoot在回复中写道。“对我们来说很明显，无论谁这样做，要么缺乏对主题的适当理解，要么是故意通过误导那些缺乏适当理解的人来获得曝光，”DSLRoot在回答关于公司意图的问题时写道。

“我们监控我们的客户并禁止与我们的住宅代理相关的任何非法活动，”DSLRoot继续说道。“我们真的不知道发Reddit帖子的人是个军人。无论是试图支付租金的非裔老奶奶，还是试图读完大学的白人孩子，只要他们能提供互联网线路或为我们托管手机——我们都欢迎。”

什么是DSLROOT？

DSLRoot在BlackHatWorld论坛上以DSLRoot和GlobalSolutions的名义作为住宅代理服务出售。该公司总部设在巴哈马，成立于2012年。该服务面向不在美国但希望看起来像在美国的人进行广告宣传。DSLRoot向美国境内的人支付费用，让其运行公司的硬件和软件——包括5G移动设备——作为回报，它将这些IP地址作为专用代理出租给世界任何地方的客户——价格为每月190美元，可无限制访问所有位置。

GlobalSolutions在BlackHatWorld上的账户列出了一个Telegram账户和一个墨西哥的WhatsApp号码。DSLRoot在营销机构digitalpoint.com上2010年的资料显示，他们之前在论坛上的用户名是“Incorptoday”。GlobalSolutions在bitcointalk[.]org和roclub[.]com的用户账户包含电子邮件clickdesk@instantvirtualcreditcards[.]com。

DomainTools.com的被动DNS记录显示，instantvirtualcreditcards[.]com当时与少数几个域名共享一个主机——208.85.1.164——包括dslroot[.]com、regacard[.]com、4groot[.]com、residential-ip[.]com、4gemperor[.]com、ip-teleport[.]com、proxysource[.]net和proxyrental[.]net。

网络情报公司Intel 471发现GlobalSolutions于2016年在BlackHatWorld上注册，使用电子邮件地址prepaidsolutions@yahoo.com。该用户分享说他们的生日是1984年3月7日。

论坛上一些关于DSLRoot的负面评论指出，该服务由一位自称“USProxyKing”的BlackHatWorld用户运营。事实上，Intel 471显示该用户在2013年告诉论坛成员通过Skype用户名“dslroot”联系他。

USProxyKing因在论坛上大量发布其住宅代理服务的广告而闻名，并且他运营着一个“按安装付费”计划，每当他们的网站导致安装其未指明的“广告软件”程序（可能是一个将主机PC变为代理的程序）时，他就向联盟会员支付少量佣金。在业务的另一端，USProxyKing将这种按安装付费的访问权出售给希望分发可疑软件的其他人——每次安装1美元。

Intel 471索引的私人消息显示，USProxyKing还从近20名不同的BlackHatWorld成员那里筹集资金，承诺他们在一家新企业中拥有股东地位，该企业将提供能够每分钟拨打2000个电话的自动呼叫服务。

追踪泄露数据平台Constella Intelligence发现，GlobalSolutions用于在BlackHatWorld注册的同一个IP地址也被用于在少数几个站点创建账户，包括WebHostingTalk上的一个GlobalSolutions用户账户，该账户提供了电子邮件地址incorptoday@gmail.com。同样注册到incorptoday@gmail.com的域名有dslbay[.]com、dslhub[.]net、localsim[.]com、rdslpro[.]com、virtualcards[.]biz/cc和virtualvisa[.]cc。

回想一下，DSLRoot在digitalpoint.com上的资料先前名为Incorptoday。DomainTools称incorptoday@gmail.com与近二十个可追溯到2008年的域名相关联，包括incorptoday[.]com，这是一个提供在多个州（包括特拉华州、佛罗里达州和内华达州）注册公司服务的网站，价格从450美元到550美元不等。

正如我们在该网站2013年的存档副本中看到的，IncorpToday还提供一项750美元的高级服务，允许客户的新公司拥有一个零售支票账户，且无需询问任何问题。

Global Solutions通过向客户提供预付卡来提供对美国银行系统的访问，这些预付卡可以加载当时在俄语国家流行的各种虚拟支付工具，包括WebMoney。这些卡限制余额为500美元，但非西方人可以使用它们在各种西方公司匿名支付商品和服务。注册到incorptoday@gmail.com的另一个域名Cardnow[.]ru展示了这一点。

谁是ANDREI HOLAS？

注册到incorptoday@gmail.com的最古老域名（2008年）是andrei[.]me；另一个叫做andreigolos[.]com。DomainTools表示，这些以及其他注册到该电子邮件地址的域名包含注册人姓名Andrei Holas，来自阿拉巴马州亨茨维尔。

公共记录显示，Andrei Holas曾与他的兄弟——Aliaksandr Holas——在阿拉巴马州的两个不同地址居住。这些记录表明Andrei Holas的生日是1984年3月，他的弟弟稍年轻一些。弟弟没有回应置评请求。

Andrei Holas在俄罗斯社交网络Vkontakte上维护了一个账户，使用的电子邮件地址是ryzhik777@gmail.com，该地址出现在过去几年从俄罗斯政府实体黑客攻击和泄露的大量记录中。

这些记录表明，Andrei Holas和他的兄弟来自白俄罗斯，并曾在一段时间内维持着莫斯科的一个地址（该地址距离俄罗斯联邦安全局（FSB，克格勃的后继情报机构）总部大约三个街区）。被黑客攻击的俄罗斯银行记录显示，Andrei Holas的生日是1984年3月7日——与GlobalSolutions在BlackHatWorld上列出的出生日期相同。

ryzhik777@gmail.com在俄语论坛Ulitka上2010年的一篇帖子解释说，发帖人难以获得B1/B2签证去美国看望他的兄弟，尽管他之前曾获得过两次单独的访问签证和一次学生签证。目前尚不清楚Holas兄弟中的一个、两个还是都不再居住在美国。Andrei在2010年解释说他的兄弟是美国公民。

合法僵尸网络

我们都可以指责那些无疑应该知道不该从陌生人那里安装互联网硬件的军事人员，但事实上，如果有机会赚点钱，愿意转售其互联网连接的美国居民是无穷无尽的。如今，有很多住宅代理提供商会让您觉得值得这样做。

传统上，住宅代理网络是使用恶意软件构建的，这些软件悄悄地将受感染系统变成流量中继，然后在阴暗的在线论坛上出售。大多数情况下，这种恶意软件与流行的破解软件和视频文件捆绑在一起，这些文件被上传到文件共享网络，并秘密地将主机设备变成流量中继。事实上，USProxyKing曾吹嘘他仅通过这种方法每周就能实现数千次安装。

有许多住宅代理网络诱使用户将其未使用的带宽货币化（在此过程中邀请您违反ISP的服务条款）；其他如DSLRoot，则充当共享VPN，通过使用该服务，您默认可以访问其他代理（用户）的连接，但您也同意与他人共享您的连接。

事实上，Intel 471的档案显示，GlobalSolutions和DSLRoot账户经常收到来自论坛用户的私人消息，这些用户是大学生或试图维持生计的年轻人。这些消息表明，许多DSLRoot的“区域代理”经常寻求佣金以推荐有兴趣转售其家庭互联网连接的朋友（DSLRoot会提出支付代理家庭互联网连接的月费）。

但在朝鲜黑客通过支付人们在美国托管笔记本电脑农场来无情地冒充西方IT工作者的时代，让陌生人在您的网络上运行笔记本电脑、移动设备或任何其他硬件，无论您处于生活的哪个阶段，似乎都是一个极其冒险的举动。正如几位Reddit用户在Sacapoopie的讨论串中指出的那样，一名亚利桑那州妇女于2025年7月被判处102个月监禁，因为她托管了一个笔记本电脑农场，帮助朝鲜黑客在300多家美国公司（包括财富500强公司）获得工作。

Lloyd Davies是总部位于伦敦的安全初创公司Infrawatch的创始人，该公司追踪住宅代理网络。Davies表示，他逆向工程了为DSLRoot代理服务提供支持的软件，发现它会回连到前面提到的域名proxysource[.]net，该网站销售一项承诺“让您的广告在多个城市上线而不会被禁止、标记或隐身”的服务（大概指的是CraigsList广告）。

Davies表示，他发现DSLRoot安装程序具有远程控制多个供应商品牌的住宅网络设备的能力。

“该软件利用供应商特定的漏洞和硬编码的管理凭证，表明DSLRoot在部署前预配置了设备，”Davies在今天发布的一份分析报告中写道。他说，该软件执行WiFi网络枚举以识别附近的无线网络，从而“可能将目标能力扩展到主要互联网连接之外。”

目前尚不清楚USProxyKing具体是何时被赶下台的，但DSLRoot及其代理产品已今非昔比。Davies表示，整个DSLRoot网络现在在全国范围内只有不到300个节点，主要是CenturyLink和Frontier等DSL提供商上的系统。

8月17日，GlobalSolutions在BlackHatWorld上发帖称：“我们正在重组我们的商业模式，降级为‘仅DSL’线路（无移动或电缆）。”通过电子邮件询问这些变化时，DSLRoot将其客户减少归咎于住宅代理服务的激增。

“如今，在这个利基市场竞争几乎变得不可能，因为每个人都在销售住宅代理，许多公司希望您在手机或桌面上安装一个软件，以便他们可以更大规模地转售您的住宅IP，”DSLRoot解释道。“所谓的‘合法僵尸网络’，正如我们所看到的。”