Apr 02, 2026 Approfondimenti, Attacchi, Attacchi, In evidenza, News, RSS, Scenario, Scenario

---

Secondo un’analisi pubblicata da GreyNoise, basata su oltre 4 miliardi di sessioni malevole osservate in tre mesi, i proxy residenziali stanno ridefinendo radicalmente il modo in cui gli attaccanti eludono i sistemi di difesa tradizionali. Il dato più rilevante è che circa il 39% del traffico malevolo proviene da reti domestiche, ma il 78% di questi IP elude i sistemi di IP reputation, mettendo in crisi uno dei pilastri storici della sicurezza di rete.

I sistemi di difesa tradizionali si basano su un presupposto ormai sempre meno valido: la possibilità di distinguere traffico legittimo da traffico malevolo in base alla provenienza. L’utilizzo massivo di proxy residenziali rompe questa logica, rendendo indistinguibili utenti reali e attaccanti.

Il motivo è strutturale. Gli indirizzi IP residenziali utilizzati nelle campagne malevole hanno una vita estremamente breve, vengono ruotati continuamente e spesso compaiono una sola volta. Questo impedisce ai sistemi di intelligence di classificarli e inserirli in blacklist in tempo utile. Il risultato è una superficie di attacco dinamica e sfuggente che evolve più velocemente dei meccanismi di difesa.

L’analisi mostra chiaramente come la volatilità sia uno degli elementi chiave di queste infrastrutture. Quasi il 90% degli IP residenziali coinvolti in attività malevole resta attivo per meno di un mese, mentre una quota minima persiste più a lungo.

Questa strategia consente agli attaccanti di mantenere un ritmo operativo tale da evitare il rilevamento. La rotazione continua degli IP crea un flusso costante di nuove identità di rete, rendendo inefficace qualsiasi approccio basato su liste statiche o reputazione storica.

Diversità e distribuzione globale degli attacchi

Un ulteriore elemento critico è la diversità dell’infrastruttura utilizzata. I proxy residenziali coinvolti negli attacchi analizzati da GreyNoise appartengono a ben 683 provider Internet differenti, aumentando ulteriormente la complessità del tracciamento e del blocco.

Dal punto di vista geografico, emergono alcuni hub principali come Cina, India e Brasile. Tuttavia, il comportamento del traffico segue pattern tipicamente umani, con una riduzione significativa durante le ore notturne. Questo suggerisce chiaramente che i dispositivi compromessi sono spesso utilizzati inconsapevolmente dagli utenti legittimi, rendendo ancora più difficile distinguere attività lecite da operazioni malevole.

Due ecosistemi distinti dietro i proxy residenziali

L’infrastruttura dei proxy residenziali si basa su due grandi categorie di sorgenti. Da un lato, botnet IoT composte da dispositivi connessi e spesso poco protetti. Dall’altro, computer compromessi che vengono arruolati in reti di proxy tramite software apparentemente legittimi.

In molti casi, applicazioni come VPN gratuite, ad blocker o strumenti consumer integrano SDK che trasformano i dispositivi degli utenti in nodi di rete utilizzati per rivendere banda, alimentando così ecosistemi distribuiti e difficili da disarticolare. Questo modello introduce un rischio sistemico, perché amplia enormemente la base di dispositivi sfruttabili.

Contrariamente a quanto si potrebbe pensare, la maggior parte del traffico generato tramite proxy residenziali non è direttamente legata allo sfruttamento di vulnerabilità. Solo lo 0,1% delle sessioni osservate è associato ad exploit veri e propri, mentre la maggioranza è dedicata a scanning e attività di ricognizione.

Questo approccio consente agli attaccanti di operare sotto il radar, costruendo mappe dettagliate delle superfici esposte prima di colpire. Alcune campagne mirate includono tentativi di accesso a VPN aziendali, attacchi di credential stuffing e tecniche di path traversal, ma restano minoritarie rispetto al volume complessivo.

Resilienza delle infrastrutture proxy e adattabilità del mercato

Le reti di proxy residenziali dimostrano una notevole capacità di adattamento. Un esempio emblematico è quello di IPIDEA, una delle più grandi reti globali, recentemente colpita da un’operazione coordinata di contrasto. Nonostante una riduzione del 40% della capacità, il traffico malevolo si è rapidamente spostato verso infrastrutture alternative, in particolare datacenter. Questo evidenzia come la domanda di proxy malevoli sia elastica e facilmente redistribuibile, rendendo gli interventi di disruption solo temporaneamente efficaci.

Il quadro che emerge impone una revisione profonda delle strategie di sicurezza. La reputazione degli IP inizia a diventare un metodo marginale per riconoscere il traffico malevolo e questo cambiamento deve esser tenuto in considerazione quando si progetta l’architettura difensiva..

Le indicazioni degli analisti vanno nella direzione di un approccio comportamentale, basato sull’analisi dei pattern di traffico piuttosto che sull’identità della sorgente. Tecniche come il rilevamento di scanning sequenziali da IP rotanti, l’identificazione di protocolli anomali e il tracciamento delle impronte dei dispositivi potrebbero diventare elementi chiave per contrastare queste minacce.

---

• attacchi da reti domestiche, botnet IoT proxy, cybersecurity behavior analysis, evasione difese rete, GreyNoise report, IP reputation bypass, proxy residenziali cybersecurity, sicurezza reti avanzata, threat intelligence proxy, traffico malevolo edge

---

---