Cyberkriminelle nutzen Wohngebäude-Proxys, um illegale Aktivitäten zu verschleiern und Entdeckung zu vermeiden

Im Gegensatz zu einem kommerziellen VPN, das dem Zielserver signalisiert, dass die Verbindung versteckt ist, lässt ein Wohngebäude-Proxy den Datenverkehr so erscheinen, als käme er das macht die Technologie so gefährlich und schwer zu erkennen. Forscher äude-Proxys in ihren Cloud-Kunden-Netzwerken untersucht und alarmierende Ergebnisse festgestellt.

Laut einem öffentlichten Bericht, der (CSN) geteilt wurde, haben mehr als 65 % ihrer Cloud-Kunden Verbindungen zu Residential-Proxy-Diensten hergestellt. Das Team stellte fest, dass der DNS-Verkehr zu Proxy-bezogenen Domänen 300 Milliarden Abfragen pro Monat Anfang 2025 auf über 500 Milliarden pro Monat bis April 2026 angestiegen ist.

Die Ausmaße des Problems überraschten sogar erfahrene Analysten. Residential-Proxy-Verkehr wurde in jeder untersuchten Branchenvertikal festgestellt, wobei mindestens 40 % der Kunden in jedem Sektor betroffen waren.

Was die Studie zeigt

Pharma-, Lebensmittel- und Getränke-, Elektronik-, Industrie- sowie Gesundheitsunternehmen zeigten eine hohe Nutzung, was ernsthafte Fragen aufwirft, wie tief diese Dienste bereits in Unternehmensumgebungen verankert sind.

Was die Situation zusätzlich erschwert, ist, dass nicht alle Nutzung äte werden häufig ohne Wissen des Eigentümers in Proxy-Netzwerke eingeschleust, oft über kostenlose Streaming-Apps, Browser-Erweiterungen oder Software-Kits, die in beliebten Anwendungen integriert sind.

Die Grenze zwischen freiwilliger Nutzung und stiller Ausbeutung ist fließend, was für Verteidiger echte Sicherheitslücken schafft. Hacker missbrauchen Residential-Proxy-Netzwerke. Bedrohungsakteure schätzen Residential-Proxy, da sie bösartigen Datenverkehr einen sauberen Tarnmantel bieten.

Reputations-Systeme für IP-Adressen sind größtenteils darauf

Reputations-Systeme für IP-Adressen sind größtenteils darauf ausgelegt, Datencenter-IPs und bekannte Bedrohungsquellen zu kennzeichnen; eine Heim-IP eines legitimen Internetdienstanbieters durchläuft diese Prüfungen jedoch meist ohne Probleme.

Dies ermöglicht Angreifern, Credential Stuffing, Kontenübernahmen, Werbetäuschungen und Aufklärungsvorgänge durchzuführen, während sie sich hinter einem echten Haushaltsgerät verstecken. Ein bekannter Fall betrifft einen Dienst namens Gress, der ungenutzte Bandbreite in Belohnungen umwandelt und Nutzer mit Kryptowährung-Token bezahlt.

Gress wurde reportedly bereits vorinstalliert auf Android-TV-Streaming-Geräten gefunden und schließt Nutzer ohne deren Wissen in das Proxy-Netzwerk ein.

Technik und Auswirkungen

Ein weiterer Dienst, Honeygain, vergütet Nutzern, indem sie ihre Wohn-IP-Adresse als Proxy-Ausgangspunkt, und betreibt zudem ein Produkt namens CrBuzz, das einen Teil der Einnahmen an wohltätige Zwecke spendet.

Auch Infoblox beobachtete einen auffälligen Anstieg, der mit einem bestimmten Orchestrierungs-Domain verbunden ist, die einem einzigen Tag im Januar 2025 stieg die Anzahl der Kunden-Netzwerke, die diese Domain abfragten, um mehr als 250 – eine Anomalie, die Experten aus dem Proxy-Bereich nicht sofort erklären konnten.

Dieser Anstieg fiel zeitlich eng mit Maßnahmen gegen IPIDEA, einen bedeutenden Proxy-Dienst, zusammen und deutet darauf hin, dass verlagerte Datenströme schnell auf andere Anbieter umverteilt wurden. Warum die Erkennung schwierig ist und was Organisationen tun können: Die Erkennung, da dieser darauf ausgelegt ist, sich unauffällig einzufügen.

Der Datenverkehr stammt, die mit legitimen

Der Datenverkehr stammt, die mit legitimen Internetdienstanbietern verknüpft sind; daher bieten herkömmliche Blocklisten und Geolokationsfilter nur begrenzten Schutz. Content-Filtering-Richtlinien werden zudem ungleich angewendet, da bösartige Domänen je nach Sicherheitskonfiguration einer Organisation unterschiedlich behandelt werden können.

Infoblox empfiehlt Verteidigern, Protective DNS einzusetzen, um Abfragen an bekannte Proxy-Orchestrierungsdomänen zu blockieren, die einer Command-and-Control-Infrastruktur bei traditionellen Malware-Kampagnen ähnlich funktionieren.

Teams sollten DNS-Abfrageprotokolle auf Verkehr zu bekannten Proxy-Domänen überprüfen und Browser-Erweiterungen sowie Consumer-Apps auf Unternehmensgeräten auf integrierte Proxy-SDKs untersuchen. Die Prüfung, die den Einsatz, kann Expositionen aufdecken, die sonst unbemerkt blieben.

Moegliche Anwendungen

Residential Proxies sind kein Nischenwerkzeug mehr, das nur einer kleinen Gruppe. Sie sind nun in Alltagsanwendungen integriert, die werden, und Organisationen, die dieses Risiko übersehen, weisen erhebliche Lücken in ihren Verteidigungsmaßnahmen auf.

Bereich: Indikator: ipidea[.]net; Beschreibung: Orchestrierungs-Domain, die mit dem IPIDEA-Residential-Proxy-Dienst verbunden ist und: Indikator: ipinfo[.]io; Beschreibung: Domain, die Proxy-Erkundigkeitsaktivitäten abgefragt wurde. Hinweis: IP-Adressen und Domains wurden absichtlich „defanged" (z.

B. durch [.] ) dargestellt, um eine unbeabsichtigte Auflösung oder Hyperlinkierung zu verhindern. Eine erneute „Fang"-Behandlung ist ausschließlich in kontrollierten Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM zulässig. Tushar ist ein Senior-Berichter über Cybersicherheit und Datenschutzverletzungen.

Sicherheitslage und Risiko

Er spezialisiert sich auf die Berichterstattung über Nachrichten, Trends und neu auftretende Bedrohungen im Bereich der Cybersicherheit, einschließlich Datenlecks und Malware-Angriffe. Mit jahrelanger Erfahrung bringt er Klarheit und Tiefe in komplexe Sicherheitsthemen ein.

GreatXML BitLocker-Bypass-0-Day wurde über einen Windows Defender Offline-Scan ausgenutzt. Die Ivanti-Befehlsinjektions-Schwachstelle wurde nach der Veröffentlichung eines PoC in Angriffen ausgenutzt. Ein PoC-Exploit wurde für eine Linux-Kernel-Schwachstelle veröffentlicht, die ein Entkommen vom Gast- zum Host-System ermöglicht.