Proxies Residenciais

Uma campanha coordenada de reconhecimento visando a infraestrutura do Citrix NetScaler foi observada entre 28 de janeiro e 2 de fevereiro, utilizando mais de 63 mil endereços IP distintos. Essa atividade, que gerou 111.834 sessões, focou na identificação de painéis de login e na enumeração de versões do produto, indicando um esforço organizado. Aproximadamente 64% do tráfego proveniente de proxies residenciais, que se apresentavam como endereços de ISPs legítimos, dificultou a filtragem baseada em reputação. Os pesquisadores da GreyNoise identificaram dois indicadores claros de intenção maliciosa: um ataque direcionado à interface de autenticação e outro focado em um arquivo específico do Endpoint Analysis (EPA). A atividade sugere um mapeamento de infraestrutura pré-exploração, com interesse em desenvolver exploits específicos para versões vulneráveis do Citrix ADC. As falhas críticas mais recentes que afetam os produtos Citrix incluem CVE-2025-5777 e CVE-2025-5775. Os especialistas recomendam que administradores de sistemas revisem a necessidade de gateways Citrix expostos à internet e monitorem acessos anômalos.

Recentemente, o Google Threat Intelligence Group (GTIG), em colaboração com parceiros da indústria, desmantelou a IPIDEA, uma das maiores redes de proxies residenciais utilizadas por cibercriminosos. A operação incluiu a remoção de domínios associados aos serviços da IPIDEA, que afirmava oferecer serviços de VPN para 6,7 milhões de usuários em todo o mundo. A rede utilizava endereços IP de usuários residenciais e pequenas empresas, comprometendo dispositivos através de aplicativos maliciosos. O Google revelou que mais de 550 grupos de ameaças, incluindo atores de países como China, Irã, Rússia e Coreia do Norte, utilizaram os nós de saída da IPIDEA em uma única semana. As atividades maliciosas observadas incluíram acesso a plataformas SaaS, controle de botnets e ataques de força bruta. A infraestrutura da IPIDEA era composta por cerca de 7.400 servidores que gerenciavam tarefas de proxy. Embora a ação do GTIG tenha impactado significativamente as operações da IPIDEA, os operadores podem tentar reconstruir sua infraestrutura. O Google recomenda cautela ao usar aplicativos que oferecem serviços de VPN gratuitos ou que pagam por largura de banda, especialmente aqueles de desenvolvedores não confiáveis.

Os ataques de negação de serviço distribuído (DDoS) evoluíram drasticamente em 2025, tornando-se uma ocorrência diária para provedores de telecomunicações. O artigo destaca que, enquanto em 2024 cerca de 44% das campanhas DDoS terminavam em cinco minutos, esse número saltou para 78% em 2025, com mais de um terço dos ataques concluídos em menos de dois minutos. Essa aceleração se deve à automação dos ataques, que agora são orquestrados por algoritmos que adaptam suas estratégias em tempo real, dificultando a resposta das defesas tradicionais. Além disso, a origem do tráfego de ataque mudou, com redes de proxies residenciais, que podem incluir de 100 a 200 milhões de dispositivos, agora sendo utilizadas para retransmitir tráfego malicioso. Essa nova infraestrutura de ataque é invisível e muito mais difícil de ser detectada, representando uma ameaça significativa. Para se defender, as organizações precisam adotar sistemas automatizados e escaláveis que integrem inteligência para identificar tráfego malicioso entre usuários legítimos. O artigo conclui que as defesas DDoS tradicionais não são mais suficientes e que é crucial uma evolução para arquiteturas de defesa proativas.