Há muito tempo que a batalha entre defensores e atacantes na Internet deixou de ser apenas uma questão de fechar portos ou manter adesivos por dia. Agora, uma fonte de problemas que está passando despercebida para muitas organizações são as Proxies residenciais: redes de endereços IP que aparentemente pertencem a casas e que os criminosos usam para camuflar atividade maliciosa. Um relatório recente de GreyNoise, baseado na análise de milhares de milhões de sessões, volta a colocar o foco no duro que resulta para os sistemas de reputação de IP distinguir entre um usuário legítimo e um atacante que passa por “uma conexão doméstica”. Mais informações no próprio relatório de GreyNoise: Invisível Army: Residential Proxy Abuse.
Os números do estudo são eloquentes: GreyNoise examinou um volume enorme de sessões voltadas à beira da rede ao longo de três meses e encontrou que cerca de 39% dessa atividade procedia de faixas que parecem ser conexões de casa, ou seja, proxies residenciais. Mas aqui vem o inquietante: a maioria desses IPs não aparecem nos feeds de reputação tradicionais. Em particular, o estudo indica que uma percentagem elevada — da ordem de 78% na amostragem — permanece “invisível” para as listas que muitos equipamentos de segurança usam para bloquear o tráfego suspeito.
Por que isso acontece? A explicação é prática e, infelizmente, eficaz para aqueles que atacam: as IPs residenciais utilizadas nestas operações são muitas vezes muito efímeras, usadas poucas vezes e rapidamente substituídas por outras. Essa rotação estruturada evita que os sistemas que dependem de histórias de abuso acumulado cheguem a catalogar-las como maliciosas antes que já tenham sido usados e descartados. GreyNoise descobriu que a grande maioria desses IPs residenciais associados a atividade maliciosa operam menos de um mês; apenas uma fração mínima permanece em ação durante vários meses.
Além da brevidade destas ligações, a diversidade geográfica e de fornecedores complica ainda mais o problema. Os IPs observados provinham de centenas de diferentes fornecedores de acesso à Internet - o que dificulta bloquear a ASN sem prejudicar usuários legítimos - e havia concentrações em países como a China, a Índia e o Brasil. Um detalhe curioso que apoia a ideia de que muitas dessas IPs são realmente dispositivos pessoais ou domésticos é que sua atividade apresenta um ritmo marcado pelos padrões de sono humano: o volume baixa significativamente durante a noite local, quando as pessoas apagam seus equipamentos.
Outro fator que as faz sigilosas é o objetivo principal de seu uso. Os dados mostram que a maior parte do tráfego proveniente destas direcções está orientada para o reconhecimento e a digitalização de redes, não diretamente para a execução de exploits. Apenas uma porcentagem ínfimo termina em tentativas de exploração eficazes; no entanto, esse trabalho preliminar de mapeamento é o que permite aos atacantes identificar objetivos válidos e projetar ataques posteriores. Entre as atividades observadas, houve desde digitalizações massivas até tentativas de acesso a páginas de login de VPN empresariais e casos pontuais de preenchimento de credenciais ou traversal de rotas.
A arquitetura que gera este tráfego tem duas fontes principais, segundo pesquisadores: por um lado, botnets centradas em dispositivos IoT, que recompilam recursos de multidão de equipamentos domésticos comprometidos; por outro, equipamentos de usuários infectados ou enrolados por SDKs em aplicativos gratuitos — como clientes VPN, bloqueadores de anúncios ou outros utilitários — que, em troca de serviços ou monetização, convertem esses dispositivos em nós que vendem largura de banda e servem tráfego de terceiros.
Um exemplo prático da resiliência do ecossistema é o que aconteceu com uma das maiores redes de proxies residenciais (referida no relatório). A intervenção coordenada de equipamentos de inteligência de ameaças conseguiu reduzir temporariamente o seu pool de endereços em uma percentagem significativa, mas o espaço deixado rapidamente foi preenchido com tráfego proveniente de centros de dados ou de outras fontes: a procura é absorvida e a capacidade é rapidamente restituída. Isto ilustra que soluções focadas em derrubar uma peça isolada raramente eliminam a ameaça de forma definitiva.
Diante desse panorama, GreyNoise e especialistas do setor propõem repensar a dependência nas listas de reputação de IP como o pilar principal da defesa. Em seu lugar, Eles levantam o foco da detecção em padrões de comportamento que sobrevivam a rotatividade de endereços: por exemplo, identificar sequências de sondagens que seguem o mesmo padrão, mesmo que provem de IPs diferentes, bloquear protocolos claramente inapropriados para espaços ISP (como expor SMB à Internet), e coletar pegadas de dispositivo ou de conexão que não alterem quando o IP o faz.
Para equipes de segurança e responsáveis TI isso implica várias consequências práticas. Não se trata de eliminar por completo o uso de listas de reputação - seguen sendo úteis -, mas sim de as combinar com análise de telemetria, correlação temporal e heurísticas de comportamento que permitam detectar um mesmo ator apesar da rotação de IPs. Também é imprescindível proteger os pontos de entrada críticos, aplicar autenticação forte e monitorar acessos falhados ou padrões de pesquisa invulgares. Em palavras simples: há que olhar menos para a etiqueta (a IP) e mais para a conduta.
O desafio técnico e operacional é relevante: monitorar e correlacionar grandes volumes de eventos, extrair sinais robustos sem gerar falsos positivos e, ao mesmo tempo, não interromper a experiência de usuários legítimos. Ferramentas como firewalls de aplicativos web com capacidades de detecção baseada em comportamento, sistemas de prevenção de intrusões que integrem telemetria de rede e mecanismos de fingerprinting avançados ganham protagonismo neste contexto. Para aqueles que querem entender melhor a lógica do problema e como se classificam os bots e o tráfego automatizado, é útil ler análises divulgativas como o da Cloudflare sobre o que é um bot e porque nem todos se comportam igual: What is a bot? (Cloudflare).
Se algo deixa claro o relatório de GreyNoise e a cobertura que está recebendo é que a economia e a técnica por trás das proxies residenciais evoluem mais rapidamente do que muitas defesas tradicionais. Já não basta bloquear endereços suspeitos: é necessária uma visão mais holística, onde a observação do comportamento, a cooperação entre fornecedores de inteligência e a implementação de controlos de acesso fortes assinalem a diferença. Para quem quiser consultar os dados originais e as recomendações técnicas, o relatório completo de GreyNoise está disponível aqui: Invisível Army: Residential Proxy Abuse, e a imprensa especializada recolheu os achados, por exemplo, Bleeping Computer.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...