De opkomst van residentiële proxies in phishingcampagnes
In april 2025 nam het gebruik van residentiële proxy-netwerken een vlucht, aangedreven door een overvloed aan onveilige of al gecompromitteerde IoT-apparaten. Deze ontwikkeling leidde tot aanzienlijke dreigingen voor lokale netwerken en het internet, die lange tijd onopgemerkt bleven.
China-georiënteerde phishingcampagnes breiden zich uit
In het begin van april sloten phishers met verbindingen naar China zich aan, waarbij ze residentiële proxy-netwerken inzetten om phishing-e-mails te verspreiden. Dit resulteerde in het gebruik van 3,5 tot 4 miljoen IP-adressen, met een dagelijks verbruik van ongeveer 250.000 IP’s. Vooral Latijns-Amerika werd aanzienlijk getroffen, zoals zichtbaar was in de systemen van Spamhaus. Een paar weken eerder werd al een phishingcampagne vanuit Brazilië waargenomen, die ongeveer 500.000 IP’s misbruikte voor brute-force inlogpogingen.
Wereldwijde verspreiding en verschuiving naar IPv6
Tegen mei 2025 waren de bronlanden van deze phishingcampagne gegroeid van één (China) naar 173, met een toename van het aantal unieke bron-IP’s van ongeveer 4.600 naar meer dan 1,3 miljoen. Dit betrof in totaal 8.893 autonome systemen (ASNs). De verschuiving naar residentiële proxies leidde ook tot een explosieve toename van IPv6-spam, wat resulteerde in een stijging van IPv6-vermeldingen in de datasets van Spamhaus.
Innovaties in phishingtechnieken
De veranderde toevoer van residentiële proxies resulteerde in een wijziging van de kenmerken van spam-e-mails. In plaats van specifieke merken te imiteren, maakten phishers gebruik van generieke, onbestaande HELO-commando’s tijdens de SMTP-transactie. Bovendien verschoof de focus van phishing-URLs van gedeelde bestandsnetwerken naar .top-domeinen, met frequente hosting op virtuele private servers in de cloudnetwerken van Alibaba en Tencent. Spamhaus heeft ook kennisgenomen van vergelijkbare campagnes die gericht zijn op Taiwanese internetgebruikers.