Pesquisadores alertam que proxies residenciais usados para rotear tráfego malicioso são um problema significativo para sistemas de reputação de IP, pois não há distinção clara entre atacantes e usuários legítimos. Isso ocorre principalmente porque os proxies residenciais têm vida útil muito curta, não estão envolvidos ou são rotacionados sistematicamente, impedindo que os sistemas de defesa os cataloguem efetivamente a tempo. **GreyNoise**, uma plataforma de inteligência em cibersegurança, chegou a essa conclusão após examinar um enorme conjunto de dados de 4 bilhões de sessões maliciosas visando a borda durante um período de três meses. ### Principais Descobertas * Aproximadamente 39% dessas sessões parecem se originar de redes domésticas, sugerindo fortemente que fazem parte de redes de proxy residenciais. * Um significativo 78% dessas sessões são invisíveis para feeds de reputação. “Os dados revelam um padrão que desafia uma suposição central da defesa de rede: que você pode distinguir atacantes de usuários legítimos pela origem do tráfego”, explica **GreyNoise**. De acordo com a empresa, a maioria dos IPs residenciais é usada apenas uma ou duas vezes antes de desaparecer, com atacantes rotacionando-os rapidamente o suficiente para evitar serem sinalizados por sistemas de reputação. * Aproximadamente 89,7% dos IPs residenciais estão ativos em operações maliciosas por menos de um mês. * Apenas 8,7% permanecem ativos por dois meses. * Apenas 1,6% persistem por três meses. Aqueles IPs que permanecem ativos por períodos prolongados tendem a se especializar, focando em SSH e utilizando pilhas TCP Linux, de acordo com os pesquisadores.  A diversidade complica ainda mais os esforços de detecção e bloqueio. Os dados da **GreyNoise** indicam que os IPs residenciais participantes de ataques pertencem a 683 provedores de serviços de internet diferentes. Outro fator que contribui para sua furtividade é seu uso principal para varredura de rede e reconhecimento. Apenas 0,1% estão envolvidos em exploits reais, observaram os pesquisadores. A pequena porcentagem (1,3%) visou páginas de login de VPN corporativas, enquanto casos limitados também envolveram IPs residenciais em tentativas de path traversal e credential stuffing. Em relação à origem desses proxies residenciais, a **GreyNoise** identifica China, Índia e Brasil como principais contribuintes. O tráfego desses IPs segue os padrões de sono humano, diminuindo em aproximadamente um terço à noite, quando a maioria dos usuários desliga seus dispositivos.  Os pesquisadores relatam que o tráfego de proxy residencial é gerado por dois ecossistemas distintos e não sobrepostos: botnets de IoT e computadores infectados. Neste último caso, os proxies se originam de SDKs incorporados em VPNs gratuitas, bloqueadores de anúncios e aplicativos semelhantes, que inscrevem os dispositivos dos usuários em esquemas de venda de largura de banda. A **GreyNoise** também destacou a resiliência dessas redes, citando o exemplo da **IPIDEA**, uma das maiores redes de proxy residencial do mundo. O **Google Threat Intelligence Group (GTIG)** e seus parceiros recentemente interromperam a **IPIDEA**. A interrupção reduziu seu pool de proxies em aproximadamente 40%, mas o tráfego de data center aumentou em seguida, indicando que a demanda pode ser absorvida por outros provedores e que a capacidade perdida é rapidamente substituída.  ### Estratégias de Mitigação A **GreyNoise** enfatiza que as táticas de evasão de proxy residencial exigem o abandono da reputação de IP como sinal principal e o foco na análise comportamental em vez disso. Os pesquisadores recomendam: * Detectar sondagens sequenciais de IPs residenciais rotativos. * Bloquear protocolos claramente ilegítimos como SMB do espaço de ISP. * Rastrear impressões digitais de dispositivos que persistem apesar da rotação de IP.