Новости

Что случилось с Faceless? Прокси на малвари, который затих

Faceless — многолетний криминальный сервис анонимности/прокси на faceless.cc — не был закрыт чистым изъятием. Его инфраструктуру нейтрализовала Lumen Black Lotus Labs в марте 2024, сайт ушёл в офлайн, а исследователи считают бренд неработающим и связывают его с ребрендом «Doppelgänger». Датированный разбор с источниками.

By Редакционная команда ProxyRadar

Другие языки: English · বাংলা · Indonesia · Tiếng Việt

Ключевые выводы

  • Чистого «закрытия» и публично подтверждённого изъятия правоохранителями у Faceless не было. Ключевое событие — нейтрализация на уровне сети силами Lumen Black Lotus Labs 26 марта 2024 года, а не арест или изъятие домена.
  • Оригинальный бренд неработающий: faceless.cc в офлайне (не отвечает в наших проверках), а исследователи называют Faceless «now defunct» и считают, что он ребрендировался в «Doppelgänger» примерно в мае–июне 2025 на новом ботнете KadNap.
  • Faceless питался ботнетом «TheMoon», а не Ngioweb/NSOCKS. Если вы видели, как Faceless смешивают с историей Ngioweb/«Water Barghest», — это другая сеть; здесь важно не путать «водопровод».

Статус проверен 19 июля 2026 года. Краткий ответ на вопрос «когда закрылся Faceless?»: единой официальной даты закрытия нет. Сервис был публично нейтрализован 26 марта 2024 года; его сайт faceless.cc в офлайне (недоступен в наших проверках и помечен как down мониторами аптайма как минимум с середины 2025); а исследователи считают бренд Faceless неработающим, оценивая, что его операция вновь появилась как «Doppelgänger» в 2025 году. Так что «он закрылся давно» по сути верно — но это была медленная нейтрализация и ребренд, а не чистый takedown.

Если вы спрашиваете «что случилось с Faceless — его закрыли, и когда?», честный ответ интереснее одной даты изъятия. Faceless был одним из самых долгоживущих криминальных сервисов анонимности в русскоязычном андеграунде. Его не разгромили рейдом в конкретный день; его медленно задушила индустриальная нейтрализация, он ушёл в офлайн и, судя по всему, вновь появился под новым именем. Ниже — датированная хронология с источниками, где факты отделены от догадок.

Чем на самом деле был Faceless

Faceless — это сервис анонимности/прокси на основе малвари (обычно домен faceless.cc), сдававший в аренду доступ к десяткам тысяч скомпрометированных устройств, чтобы клиенты могли пропускать через них трафик и скрывать своё истинное происхождение. Годами он предлагал доступ дешевле доллара в день, не требовал верификации личности (без KYC) и принимал только криптовалюту — идеальные условия для тех, кто хотел «отмыть» источник вредоносного трафика.

По данным KrebsOnSecurity, Faceless управлял русскоязычный киберпреступник под ником «MrMurza», активный на форумах как минимум с 2012 года. Faceless не возник из ниоткуда: он вырос из более раннего сервиса анонимности «iSocks», запущенного в 2014 году. Примерно в сентябре 2016 MrMurza сообщил пользователям iSocks о сворачивании сервиса в пользу Faceless, предложив бесплатную миграцию до введения регистрационных сборов (по сообщениям, $50–$100). Иными словами, у бренда Faceless корни примерно на десятилетие назад.

В отличие от «residential»-брендов, попавших под волну 2026 года — многие из которых перепродают и whitelabel-ят мощности друг друга, — Faceless держал собственный пул на основе ботнета. Это важное различие, к которому мы будем возвращаться.

Что его питало: TheMoon, а не Ngioweb

Стоит развеять частую путаницу. Faceless питался ботнетом «TheMoon» — малварью, захватывавшей end-of-life SOHO-роутеры и IoT-устройства. Это не ботнет Ngioweb и не то же самое, что сервис NSOCKS или актор «Water Barghest», которых исследователи связывают с Ngioweb. Это отдельная экосистема. Если вы видели упоминание Faceless рядом с Water Barghest — такое смешение распространено, но неверно.

Lumen Black Lotus Labs оценила TheMoon как основного, если не единственного, поставщика ботов для Faceless. По их телеметрии пересечение было экстремальным — в одном десятидневном окне около 80–90% устройств, общавшихся с управляющими серверами Faceless, также общались с серверами TheMoon. Устройства были непропорционально сосредоточены в США (~80% ботов Faceless), а сервис использовался для сокрытия трафика операторов малвари вроде SolarMarker и IcedID.

Датированная хронология

2014 — запускается предшественник «iSocks»

MrMurza открывает iSocks, рекламируемый на русскоязычных крайм-форумах как способ пропускать трафик через скомпрометированные компьютеры.

Сентябрь 2016 — Faceless сменяет iSocks

Существующих пользователей iSocks переводят на Faceless, который становится флагманским брендом анонимности.

Апрель 2023 — KrebsOnSecurity делает разбор Faceless

Krebs публикует детальное расследование («Giving a Face to the Malware Proxy Service 'Faceless'»), документируя оператора, цены и десятилетнюю историю сервиса. На этот момент Faceless вполне жив.

26 марта 2024 — нейтрализация (ближайшее к «дате закрытия»)

Lumen Black Lotus Labs публично раскрыла операцию Faceless/TheMoon и объявила, что заблокировала весь трафик к выделенной инфраструктуре обоих и от неё по всей глобальной сети Lumen, а также выпустила индикаторы компрометации (IoC). В отчёте описывалась сеть, выросшая до более 40 000 ботов в 88 странах в начале 2024 года, включая одну кампанию, скомпрометировавшую более 6 000 роутеров ASUS менее чем за 72 часа. Именно это событие большинство имеет в виду, говоря, что Faceless «сняли», — но важно: это была нейтрализация на уровне сети силами частной компании, а не изъятие правоохранителями. Публично об арестах и баннере изъятия на домене не сообщалось.

2024–2025 — сайт уходит в офлайн

После нейтрализации faceless.cc перестал стабильно отвечать. Публичные проверки аптайма показывают таймауты домена с нескольких континентов к середине 2025 года, и он остаётся недоступным в наших проверках.

Май–июнь 2025 — появляется «Doppelgänger»

Запускается новый криминальный прокси-сервис «Doppelgänger». Исследователи Lumen Black Lotus Labs совместно со Spur оценивают Doppelgänger как функциональный ребренд ныне неработающего Faceless.

10 марта 2026 — раскрытие KadNap связывает всё воедино

Lumen опубликовала исследование о новом одноранговом ботнете «KadNap» (на кастомном Kademlia DHT, в основном захватывает роутеры ASUS, ~14 000 жертв в день). Боты KadNap продаются через Doppelgänger — сервис, который Lumen и Spur связывают с неработающим Faceless. Это самое ясное публичное подтверждение того, что операция не умерла, а сменила «одежду».

Так когда же Faceless «закрылся»?

Прямо: Faceless никогда не закрывали официально в конкретную объявленную дату, и нет публичных данных об изъятии полицией или аресте. Реалистичный ответ на «когда закрылся» — это окно, а не дата:

  • 26 марта 2024 — защитимая точка перелома: публичная нейтрализация, сломавшая инфраструктуру.
  • В течение 2024–2025 сайт faceless.cc ушёл и остался в офлайне.
  • К 2025 исследователи называли бренд неработающим, а операцию — ребрендированной в Doppelgänger.

Так что если вам говорят «Faceless закрылся давно», по итогу это в целом верно — оригинального бренда нет, — но механизм был медленной нейтрализацией и ребрендом, а не чистым takedown.

Что это значит для вас

Для подавляющего большинства легитимных пользователей прокси ответ прост: Faceless — сервис, которым вам и не следовало пользоваться. Это был откровенно криминальный инструмент анонимности на основе ботнета из захваченных роутеров обычных людей. Его исчезновение — хорошая новость, а не «дыра на рынке», которую надо заполнить.

Более широкий урок проходит через всё наше освещение 2026 года: дешёвая «анонимность», скрывающая источники, почти всегда — чужое скомпрометированное оборудование. История Faceless → Doppelgänger показывает, насколько устойчивы такие операции: нейтрализуй инфраструктуру — и операторы отстраиваются на свежем ботнете под новым именем. Именно поэтому погоня за самым дешёвым пулом «без вопросов» — проигрышная игра.

Честные рекомендации

  • Не ищите «замену Faceless». Сервисы этой категории существуют, чтобы «отмывать» вредоносный трафик через устройства жертв; их использование несёт юридический и этический риск, а не только риск надёжности.
  • Если прокси нужны для легальной работы (сбор данных, проверка рекламы, QA), выбирайте поставщиков, которые могут объяснить, как формируется пул, на что соглашаются владельцы устройств и как их компенсируют, — и проверяйте живое состояние до траты бюджета.
  • «Домен ещё отвечает» ничего не значит. У Faceless домен ушёл в офлайн; при ребрендах вроде Doppelgänger инфраструктура просто переезжает. Доступная страница входа не доказывает, что сеть безопасна или стабильна.
  • Держите в уме более широкий разгром. Faceless — более старый самостоятельный прокси на малвари, отличная история от волны residential-takedown-ов 2026 года. По той отдельной волне см. наш трекер takedown-ов прокси 2026 и отчёт об изъятии NetNut ФБР.

Частые вопросы

Faceless закрыли, и когда?

Не чистым изъятием. Ближайшее к дате закрытия — 26 марта 2024, когда Lumen Black Lotus Labs публично нейтрализовала инфраструктуру Faceless/TheMoon, заблокировав трафик и выпустив IoC. Публичных данных об аресте или изъятии домена нет. После этого сайт faceless.cc ушёл в офлайн, и исследователи называют бренд неработающим.

Faceless всё ещё существует под другим именем?

Исследователи считают, что операция вновь появилась как «Doppelgänger» примерно в мае–июне 2025, на новом одноранговом ботнете KadNap (раскрыт Lumen в марте 2026). То есть бренда «Faceless» нет, но лежащий в основе криминальный прокси-бизнес, судя по всему, продолжился под новым именем.

Faceless — это то же, что Ngioweb, NSOCKS или Water Barghest?

Нет. Faceless питался ботнетом TheMoon. Ngioweb (связан с сервисом NSOCKS и актором «Water Barghest») — отдельный ботнет и экосистема. Их часто путают, потому что оба злоупотребляют SOHO-роутерами, но это не одна сеть.

Кто управлял Faceless?

По данным KrebsOnSecurity, Faceless управлял русскоязычный киберпреступник под ником «MrMurza», и сервис вырос из более раннего «iSocks», запущенного в 2014 году.

Безопасно ли покупать прокси «Faceless» сегодня?

Покупать нечего легитимного. Любой сайт, называющийся Faceless сейчас, — в лучшем случае оболочка неработающего криминального сервиса, в худшем — скам или ребренд, маршрутизирующий через захваченные устройства. Избегайте.

Источники

  • KrebsOnSecurity — «Giving a Face to the Malware Proxy Service 'Faceless'» (апрель 2023).
  • Lumen, Black Lotus Labs — «The darkside of TheMoon» / «Lumen Disrupts Cybercriminals Targeting Home and Office Routers» (26 марта 2024).
  • Lumen, Black Lotus Labs — «Silence of the hops: the KadNap botnet» (март 2026), где Doppelgänger оценивается как ребренд ныне неработающего Faceless.
  • Spur (цитируется Lumen) — атрибуция, связывающая KadNap/Doppelgänger с бывшим прокси-сервисом Faceless.
  • Проверка faceless.cc со стороны ProxyRadar (19 июля 2026): домен недоступен.

Журнал обновлений

  • 26 марта 2024: Lumen Black Lotus Labs раскрывает и нейтрализует операцию Faceless/TheMoon.
  • Середина 2025: faceless.cc фиксируется офлайн мониторами аптайма; бренд называют неработающим.
  • Май–июнь 2025: запускается «Doppelgänger»; оценивается как ребренд Faceless.
  • 10 марта 2026: Lumen публикует исследование KadNap, связывающее Doppelgänger с бывшим Faceless.
  • 19 июля 2026: ProxyRadar подтверждает, что faceless.cc по-прежнему недоступен.

Об авторе

Редакционная команда ProxyRadar

Независимое исследование прокси и редакция

Корпоративная подпись используется, когда исследование и проверка выполнены коллективно и отдельный автор не указан.

Похожие гайды

Что случилось с Faceless? Нейтрализован и заброшен | ProxyRadar