Domowe IP jako furtka do ataku. Jak proxy z naszych urządzeń zaciera granicę między legalnym a złośliwym ruchem sieciowym
Cyberprzestępcy porzucają tradycyjne bulletproof hosting na rzecz residential proxy, czyli usług wykorzystujących prywatne urządzenia, które maskują złośliwy ruch wśród codziennego Internetu. Zamiast jednorazowych serwerów, ataki są teraz realizowane z wykorzystaniem sieci routerów domowych czy laptopów, utrudniając narzędziom wykrycia incydentów. Przyjrzyjmy się fenomenowi mieszania legalnego i złośliwego ruchu oraz wyzwaniom, jakie stawia przed cyberobroną.
Cyberprzestępcy coraz skuteczniej maskują złośliwy ruch sieciowy korzystając bulletproof hosting i residential proxy. To nowe wyzwania w ochronie danych.
![Domowe IP jako furtka do ataku. Jak proxy z naszych urządzeń zaciera granicę między legalnym a złośliwym ruchem sieciowym [1]](/image/news/2025/06/09_domowe_ip_jako_furtka_do_ataku_jak_proxy_z_naszych_urzadzen_zaciera_granice_miedzy_legalnym_a_zlosliwym_ruchem_sieciowym_1_b.jpg)
Miliony wbudowanych Androidów i jedno zagrożenie. BADBOX 2.0 przekształca tanie urządzenia w narzędzia przestępców
Według analizy przedstawionej przez specjalistów z Team Cymru, cyberprzestępcy rezygnują z bulletproof hosting na rzecz nowego podejścia. Wykorzystują proxy z adresami IP użytkowników domowych. Źródłem takich adresów mogą być stare smartfony, laptopy, modemy czy urządzenia IoT, które nieświadomie udostępniają swoje łącze do realizacji złośliwych działań. W efekcie złośliwy ruch miesza się z legalnym i wychodzi z zaufanych lokalizacji. To znacznie utrudnia jego klasyfikację przez klasyczne mechanizmy bezpieczeństwa. Zaszycie komunikacji C&C w zwykłym ruchu użytkownika domowego powoduje, że nawet systemy klasy enterprise mają trudności z wykryciem takich ataków.
![Domowe IP jako furtka do ataku. Jak proxy z naszych urządzeń zaciera granicę między legalnym a złośliwym ruchem sieciowym [2]](/image/news/2025/06/09_domowe_ip_jako_furtka_do_ataku_jak_proxy_z_naszych_urzadzen_zaciera_granice_miedzy_legalnym_a_zlosliwym_ruchem_sieciowym_0_b.jpg)
Kampania AyySSHush. Nowy botnet atakuje routery ASUS poprzez CVE-2023-39780 i luki w uwierzytelnianiu
Zamiast korzystać z dynamicznie zmienianych adresów w modelu Fast Flux, przestępcy zaczynają polegać na stabilnych, wiarygodnych i trudnych do odfiltrowania domowych adresach IP. Usługi typu residential proxy stają się coraz powszechniejsze na czarnym rynku, a ich model biznesowy przypomina platformy typu bot-as-a-service. W tej sytuacji klasyczne podejście do wykrywania anomalii w ruchu sieciowym przestaje być skuteczne. Niezbędne staje się wdrożenie analizy behawioralnej, korelacji danych z wielu źródeł, a także mechanizmów wykorzystujących sztuczną inteligencję, które pozwolą odróżnić złośliwe działania ukryte w pozornie legalnym strumieniu danych. Pozostaje pytanie, czy infrastruktura IT w firmach nadąży za tą zmianą i czy administratorzy są gotowi przyjąć fakt, że zagrożenie może przychodzić nie z zewnątrz, ale przez adres IP zwykłego domowego użytkownika?
Powiązane publikacje
Miliony wbudowanych Androidów i jedno zagrożenie. BADBOX 2.0 przekształca tanie urządzenia w narzędzia przestępców
7
Kampania AyySSHush. Nowy botnet atakuje routery ASUS poprzez CVE-2023-39780 i luki w uwierzytelnianiu
16
Globalna operacja przeciwko Lumma Stealer. ESET i Microsoft neutralizują jedno z najgroźniejszych narzędzi cyberprzestępców
15
Signal kontra Windows Recall, czyli jak wykorzystano DRM do ochrony prywatności w aplikacji desktopowej
48
