Tin tức

Chuyện gì đã xảy ra với Faceless? Proxy malware đã lặng đi

Faceless, dịch vụ ẩn danh/proxy tội phạm lâu năm tại faceless.cc, chưa bao giờ bị tịch thu trong một vụ đóng cửa gọn gàng — hạ tầng của nó bị Lumen Black Lotus Labs làm gián đoạn tháng 3/2024, website tắt, và các nhà nghiên cứu nay gọi nó là defunct và đã đổi tên thành 'Doppelgänger.' Đây là bản tường thuật có ngày tháng và nguồn.

By Ban biên tập ProxyRadar

Ngôn ngữ khác: English · Русский · বাংলা · Indonesia

Điểm chính

  • Không có vụ "đóng cửa" gọn gàng nào và không có vụ tịch thu của cơ quan thực thi pháp luật nào với Faceless được công bố công khai. Sự kiện then chốt là vụ gián đoạn ở cấp mạng do Lumen Black Lotus Labs thực hiện ngày 26/3/2024, không phải bắt giữ hay tịch thu tên miền.
  • Thương hiệu gốc nay đã defunct: faceless.cc offline (không phản hồi trong các lần kiểm tra của chúng tôi), và các nhà nghiên cứu gọi Faceless là "now defunct" và đánh giá nó đã đổi tên thành "Doppelgänger" khoảng tháng 5–6/2025 trên một botnet mới tên KadNap.
  • Faceless được cấp nguồn bởi botnet "TheMoon" — không phải Ngioweb/NSOCKS. Nếu bạn thấy Faceless bị gộp chung với câu chuyện Ngioweb/"Water Barghest", đó là mạng khác; hiểu đúng "đường ống" ở đây rất quan trọng.

Trạng thái kiểm tra ngày 19/7/2026. Trả lời ngắn cho "Faceless đóng cửa khi nào?": không có một ngày đóng cửa chính thức duy nhất. Dịch vụ này bị gián đoạn công khai ngày 26/3/2024; website faceless.cc của nó offline (không truy cập được trong các lần kiểm tra của chúng tôi và bị các công cụ giám sát uptime đánh dấu down ít nhất từ giữa 2025); và các nhà nghiên cứu nay coi thương hiệu Faceless là defunct, đánh giá hoạt động của nó tái xuất hiện dưới tên "Doppelgänger" vào 2025. Vậy nên "nó đã đóng cửa từ lâu" về cơ bản là đúng — nhưng đó là một vụ gián đoạn-và-đổi-tên chậm rãi, không phải một cú takedown gọn gàng.

Nếu bạn hỏi "chuyện gì đã xảy ra với Faceless — nó có bị đóng cửa không, và khi nào?", câu trả lời trung thực thú vị hơn một ngày tịch thu. Faceless là một trong những dịch vụ ẩn danh tội phạm tồn tại lâu nhất trên giới ngầm nói tiếng Nga. Nó không bị phá bởi một cuộc đột kích vào một ngày cố định; nó bị bóp nghẹt dần bởi một vụ gián đoạn của ngành, tắt đèn, và dường như đã tái xuất dưới một cái tên mới. Dưới đây là dòng thời gian có ngày tháng và nguồn, tách dữ kiện khỏi phỏng đoán.

Faceless thực chất là gì

Faceless là một dịch vụ ẩn danh/proxy dựa trên malware — thường truy cập tại tên miền faceless.cc — cho thuê quyền truy cập vào hàng chục nghìn thiết bị bị xâm nhập để khách hàng định tuyến lưu lượng qua đó và giấu nguồn gốc thật. Trong nhiều năm, nó quảng cáo truy cập với giá chưa tới một đô la một ngày, không yêu cầu xác minh danh tính (không KYC), và chỉ nhận tiền mã hóa — điều kiện lý tưởng cho ai muốn rửa nguồn gốc của lưu lượng độc hại.

Theo KrebsOnSecurity, Faceless do một nhân vật tội phạm mạng nói tiếng Nga dùng biệt danh "MrMurza" điều hành, hoạt động trên các diễn đàn ít nhất từ 2012. Faceless không xuất hiện từ hư không: nó lớn lên từ một dịch vụ ẩn danh trước đó tên "iSocks", ra mắt năm 2014. Khoảng tháng 9/2016, MrMurza báo cho người dùng iSocks rằng dịch vụ sẽ ngừng để nhường chỗ cho Faceless, mời di chuyển miễn phí trước khi phí đăng ký mới (được báo là $50–$100) áp dụng. Nói cách khác, thương hiệu Faceless có gốc rễ khoảng một thập kỷ.

Khác với các thương hiệu "residential" vướng vào các vụ takedown 2026 — nhiều trong số đó bán lại và whitelabel nguồn cung của nhau — Faceless vận hành pool bằng botnet của riêng nó. Đây là điểm phân biệt quan trọng mà chúng tôi sẽ còn quay lại.

Cái gì cấp nguồn cho nó: TheMoon, không phải Ngioweb

Một điểm hay bị nhầm cần làm rõ. Faceless được cấp nguồn bởi botnet "TheMoon" — malware chiếm quyền router SOHO và thiết bị IoT hết vòng đời. Nó không phải botnet Ngioweb, và không giống dịch vụ NSOCKS hay tác nhân "Water Barghest" mà các nhà nghiên cứu gắn với Ngioweb. Đó là hệ sinh thái riêng. Nếu bạn thấy Faceless được nhắc cùng lúc với Water Barghest, sự gộp chung đó phổ biến nhưng sai.

Lumen Black Lotus Labs đánh giá TheMoon là nhà cung cấp bot chính, nếu không muốn nói là duy nhất, cho Faceless. Trong telemetry của họ, mức trùng lặp giữa hai bên là cực lớn — trong một cửa sổ mười ngày, khoảng 80–90% thiết bị liên lạc với máy chủ điều khiển Faceless cũng liên lạc với máy chủ của TheMoon. Thiết bị tập trung không cân xứng ở Hoa Kỳ (~80% bot Faceless), và dịch vụ này được dùng để giấu lưu lượng cho các nhà vận hành malware như SolarMarker và IcedID.

Dòng thời gian có ngày tháng

2014 — tiền thân "iSocks" ra mắt

MrMurza mở iSocks, quảng cáo trên các diễn đàn tội phạm nói tiếng Nga như một cách định tuyến lưu lượng qua máy tính bị xâm nhập.

Tháng 9/2016 — Faceless thay thế iSocks

Người dùng iSocks hiện có được đẩy sang Faceless, trở thành thương hiệu ẩn danh chủ lực.

Tháng 4/2023 — KrebsOnSecurity phân tích Faceless

Krebs công bố một cuộc điều tra chi tiết ("Giving a Face to the Malware Proxy Service 'Faceless'"), ghi lại nhà vận hành, giá cả và lịch sử một thập kỷ. Lúc này Faceless vẫn rất sống động.

26/3/2024 — vụ gián đoạn (thứ gần nhất với "ngày đóng cửa")

Lumen Black Lotus Labs công khai vén màn hoạt động Faceless/TheMoon và tuyên bố đã chặn toàn bộ lưu lượng đến và đi từ hạ tầng chuyên dụng của cả hai trên khắp mạng toàn cầu của Lumen, đồng thời phát hành các chỉ báo xâm nhập (IoC) để người khác cũng làm được. Báo cáo của họ mô tả một mạng đã lớn lên hơn 40.000 bot ở 88 quốc gia vào đầu 2024, gồm một chiến dịch xâm nhập hơn 6.000 router ASUS trong chưa đầy 72 giờ. Đây là sự kiện mà đa số nghĩ đến khi nói Faceless "bị hạ" — nhưng hãy lưu ý chính xác nó là gì: một vụ gián đoạn ở cấp mạng do một công ty tư nhân thực hiện, không phải vụ tịch thu của cơ quan thực thi pháp luật. Không có vụ bắt giữ hay banner tịch thu trên tên miền được công bố công khai.

2024–2025 — website tắt

Sau vụ gián đoạn, faceless.cc ngừng truy cập được một cách ổn định. Các lần kiểm tra uptime công khai cho thấy tên miền time out từ nhiều châu lục vào giữa 2025, và nó vẫn không truy cập được trong các lần kiểm tra của chúng tôi.

Tháng 5–6/2025 — "Doppelgänger" xuất hiện

Một dịch vụ proxy tội phạm mới tên "Doppelgänger" ra mắt. Các nhà nghiên cứu ở Lumen Black Lotus Labs, phối hợp với Spur, đánh giá Doppelgänger là một cú đổi tên chức năng của Faceless nay đã defunct.

10/3/2026 — công bố KadNap ráp mọi thứ lại

Lumen công bố nghiên cứu về một botnet ngang hàng mới tên "KadNap" (dựng trên Kademlia DHT tùy biến, chủ yếu chiếm router ASUS, ~14.000 nạn nhân mỗi ngày). Bot KadNap được bán qua Doppelgänger — dịch vụ mà Lumen và Spur liên hệ ngược về Faceless đã defunct. Đây là xác nhận công khai rõ ràng nhất rằng hoạt động này không đơn giản chết đi; nó đã thay áo.

Vậy — Faceless "đóng cửa" khi nào?

Nói thẳng: Faceless chưa bao giờ bị đóng cửa chính thức vào một ngày được công bố, và không có hồ sơ công khai nào về vụ tịch thu của cảnh sát hay bắt giữ. Câu trả lời thực tế cho "đóng cửa khi nào" là một khoảng thời gian, không phải một ngày:

  • 26/3/2024 là bước ngoặt có thể bảo vệ được — vụ gián đoạn công khai đã phá vỡ hạ tầng của nó.
  • Suốt 2024–2025 website faceless.cc tắt và vẫn offline.
  • Đến 2025 các nhà nghiên cứu mô tả thương hiệu này là defunct, với hoạt động được đổi tên thành Doppelgänger.

Vậy nên nếu ai đó nói "Faceless đóng cửa từ lâu rồi," về kết quả họ đúng phần lớn — thương hiệu gốc không còn — nhưng cơ chế là một vụ gián đoạn chậm và đổi tên, không phải một cú takedown gọn gàng.

Điều này nghĩa gì với bạn

Với đại đa số người dùng proxy hợp pháp, câu trả lời trực tiếp rất đơn giản: Faceless chưa bao giờ là dịch vụ mà bạn nên dùng. Nó là một công cụ ẩn danh tội phạm rõ ràng, cấp nguồn bằng botnet dựng từ router bị chiếm quyền của người dân thường. Việc nó biến mất là tin tốt, không phải một khoảng trống thị trường cần lấp.

Bài học rộng hơn xuyên suốt toàn bộ loạt bài 2026 của chúng tôi: "ẩn danh" giá rẻ mà giấu nguồn gốc gần như luôn là phần cứng bị xâm nhập của người khác. Câu chuyện Faceless → Doppelgänger cho thấy các hoạt động này bền bỉ thế nào — làm gián đoạn hạ tầng thì nhà vận hành dựng lại trên một botnet mới dưới một cái tên mới. Đó chính là lý do chạy theo pool rẻ nhất, không-hỏi-han là một cuộc chơi thua.

Hướng dẫn trung thực

  • Đừng đi tìm "vật thay thế Faceless". Các dịch vụ loại này tồn tại để rửa lưu lượng độc hại qua thiết bị của nạn nhân; dùng chúng mang rủi ro pháp lý và đạo đức, không chỉ rủi ro độ tin cậy.
  • Nếu bạn cần proxy cho công việc hợp pháp (thu thập dữ liệu, xác minh quảng cáo, QA), hãy chọn nhà cung cấp có thể giải thích pool được lấy nguồn ra sao, chủ thiết bị đồng ý điều gì, và được đền bù thế nào — và xác minh sức khỏe trực tiếp trước khi chi ngân sách.
  • Coi "vẫn resolve" là vô nghĩa. Với Faceless tên miền đã tắt; với các vụ đổi tên như Doppelgänger, hạ tầng chỉ đơn giản di chuyển. Một trang đăng nhập truy cập được không phải bằng chứng mạng an toàn hay ổn định.
  • Giữ góc nhìn về cuộc trấn áp rộng hơn. Faceless là một proxy malware cũ, tự vận hành — một câu chuyện khác với các vụ takedown residential proxy 2026. Về đợt riêng đó, xem trình theo dõi takedown proxy 2026báo cáo FBI tịch thu NetNut của chúng tôi.

Câu hỏi thường gặp

Faceless có bị đóng cửa không, và khi nào?

Không phải bằng vụ tịch thu gọn gàng. Thứ gần nhất với một ngày đóng cửa là 26/3/2024, khi Lumen Black Lotus Labs công khai làm gián đoạn hạ tầng Faceless/TheMoon bằng cách chặn lưu lượng và phát hành IoC. Không có vụ bắt giữ hay tịch thu tên miền nào được công bố công khai. Website faceless.cc tắt sau đó và các nhà nghiên cứu nay gọi thương hiệu này là defunct.

Faceless còn tồn tại dưới tên khác không?

Các nhà nghiên cứu đánh giá hoạt động này tái xuất hiện dưới tên "Doppelgänger" khoảng tháng 5–6/2025, cấp nguồn bởi một botnet ngang hàng mới tên KadNap (Lumen công bố tháng 3/2026). Vậy nên thương hiệu "Faceless" không còn, nhưng công việc proxy tội phạm nền tảng dường như tiếp tục dưới một cái tên mới.

Faceless có giống Ngioweb, NSOCKS hay Water Barghest không?

Không. Faceless được cấp nguồn bởi botnet TheMoon. Ngioweb (gắn với dịch vụ NSOCKS và tác nhân "Water Barghest") là một botnet và hệ sinh thái riêng biệt. Chúng hay bị nhầm vì cả hai đều lạm dụng router SOHO, nhưng không phải cùng một mạng.

Ai điều hành Faceless?

Theo KrebsOnSecurity, Faceless do một nhân vật tội phạm mạng nói tiếng Nga dùng biệt danh "MrMurza" điều hành, và nó lớn lên từ dịch vụ "iSocks" trước đó ra mắt năm 2014.

Mua proxy "Faceless" hôm nay có an toàn không?

Không có gì hợp pháp để mua. Bất kỳ trang nào tự nhận tên Faceless bây giờ, tốt nhất chỉ là cái vỏ của một dịch vụ tội phạm đã defunct, tệ nhất là lừa đảo hoặc một cú đổi tên định tuyến qua thiết bị bị chiếm quyền. Hãy tránh.

Nguồn

  • KrebsOnSecurity — "Giving a Face to the Malware Proxy Service 'Faceless'" (tháng 4/2023).
  • Lumen, Black Lotus Labs — "The darkside of TheMoon" / "Lumen Disrupts Cybercriminals Targeting Home and Office Routers" (26/3/2024).
  • Lumen, Black Lotus Labs — "Silence of the hops: the KadNap botnet" (tháng 3/2026), đánh giá Doppelgänger là cú đổi tên của Faceless nay đã defunct.
  • Spur (được Lumen trích dẫn) — quy kết liên hệ KadNap/Doppelgänger với dịch vụ proxy Faceless trước đây.
  • Kiểm tra faceless.cc bởi ProxyRadar (19/7/2026): tên miền không truy cập được.

Nhật ký cập nhật

  • 26/3/2024: Lumen Black Lotus Labs vén màn và làm gián đoạn hoạt động Faceless/TheMoon.
  • Giữa 2025: faceless.cc được ghi nhận offline bởi các công cụ giám sát uptime; thương hiệu bị gọi là defunct.
  • Tháng 5–6/2025: "Doppelgänger" ra mắt; được đánh giá là cú đổi tên của Faceless.
  • 10/3/2026: Lumen công bố nghiên cứu KadNap liên hệ Doppelgänger về dịch vụ Faceless trước đây.
  • 19/7/2026: ProxyRadar xác nhận faceless.cc vẫn không truy cập được.

Về tác giả

Ban biên tập ProxyRadar

Bộ phận nghiên cứu proxy độc lập và biên tập

Tên tác giả cấp tổ chức được dùng khi công việc nghiên cứu và đánh giá được thực hiện tập thể và không xác định được tác giả cá nhân.

Hướng dẫn liên quan

Chuyện gì xảy ra với Faceless? Bị gián đoạn, nay defunct | ProxyRadar