🔍 Contexte

Publié le 7 mai 2026 par Valter Santos (Principal Threat Researcher, Bitsight), cet article présente les résultats d’une investigation empirique menée sur 55 jours (19 janvier – 15 mars 2026) portant sur l’écosystème mondial des services de proxies résidentiels (RESIP).

📊 Échelle observée

L’étude a ciblé 30 services de proxies parmi plus de 150, sélectionnés pour leur faible vérification KYC. Les chiffres clés :

  • 989 686 388 événements d’énumération totaux
  • 53 346 368 IPs uniques globales
  • 36 842 328 IPs uniques sur les 30 derniers jours
  • Pics journaliers : Netnut (2,3M nœuds), LunaProxy (1,85M), 711Proxy (1,65M), 922Proxy (1,64M), ThunderProxy (1,47M)

🦠 Taux d’infection et symbiose malware

La corrélation entre les IPs de sortie des proxies et les datasets de systèmes compromis de Bitsight révèle :

  • 15,49% des IPs distinctes (8 222 677) simultanément flaggées pour des infections malware actives
  • 12,78% (6 785 708) présentant une activité riskware
  • Familles co-infectées identifiées : Vo1d, Badbox, RootSTV/Pandoraspear, OpenCandy, Gamarue, M0vy
  • Riskware dominant : Abandonware_Calendar et ColorOS

Ces chiffres sont des bornes inférieures : seuls les appareils communiquant activement avec les sinkholes sont comptabilisés.

🎯 Cas d’étude : le cluster IPIDEA

IPIDEA opère comme un conglomérat de proxies résidentiels regroupant les marques : 360 Proxy, 922 Proxy, ABC Proxy, Cherry Proxy, Door VPN, Galleon VPN, IP2World, Luna Proxy, PIA S5 Proxy, PY Proxy, Radish VPN, Tab Proxy.

  • Overlap malware observé : 15–26% avec Vo1d, Badbox et RootSTV/Pandoraspear
  • Taux d’infection réel estimé : ~50%
  • Le 25 janvier 2026 (veille du takedown Google) : 302 238 infections Vo1d actives via IPIDEA, représentant 55% du botnet Vo1d mondial
  • RootSTV : 33% de ses nœuds globaux routés via IPIDEA
  • Le réseau assistait plus de 550 groupes de menaces dans leurs activités cybercriminelles

⚡ Résilience post-disruption

Lors du takedown Google (26 janvier 2026) :

  • Blackout de visibilité de 24 jours sur les services IPIDEA
  • Le 15 février (milieu du blackout) : 5,2M nœuds actifs sur d’autres services, dont 429 687 infections Vo1d et 253 775 infections RootSTV redirigées
  • Retour instantané aux niveaux pré-disruption vers le 25 février : 2,24M nœuds et ~300 000 infections Vo1d dès le premier jour
  • Les opérateurs IPIDEA ont simplement redirigé le trafic botnet vers des clients wholesale alternatifs

📅 Chronologie des disruptions majeures

  • Oct. 2023 : Disruption BADBOX/PEACHPIT (Human Security)
  • Déc. 2023 : Disruption Socks5Systemz (Bitsight) – 250k systèmes compromis, lié à ProxyAM
  • Mai 2024 : Démantèlement botnet 911 S5 (FBI) – ~99M$ de revenus
  • Nov. 2024 : Takedown NSOCKS/Ngioweb
  • Juil. 2025 : Disruption BadBox 2.0 (Google, Human Security)
  • Jan. 2026 : Disruption IPIDEA (Google)
  • Mars 2026 : Disruption KadNap/Dopellganger (Lumen Black Lotus)
  • Mars 2026 : Démantèlement AVRecon/SocksEscort (opération internationale) – 369k routeurs/IoT

📋 Type d’article

Il s’agit d’une publication de recherche empirique produite par Bitsight, visant à quantifier la symbiose entre l’économie des proxies résidentiels et les botnets malware, et à démontrer l’insuffisance des défenses basées sur la réputation IP statique.

🧠 TTPs et IOCs détectés

TTP

  • T1090.002 — Proxy: External Proxy (Command and Control)
  • T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
  • T1110.004 — Brute Force: Credential Stuffing (Credential Access)
  • T1583.008 — Acquire Infrastructure: Malvertising (Resource Development)
  • T1496 — Resource Hijacking (Impact)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1584.005 — Compromise Infrastructure: Botnet (Resource Development)

Malware / Outils

  • Vo1d (botnet)
  • Badbox (botnet)
  • RootSTV (botnet)
  • Pandoraspear (botnet)
  • OpenCandy (other)
  • Gamarue (botnet)
  • M0vy (other)
  • Socks5SystemZ (botnet)
  • Ngioweb (botnet)
  • AVRecon (botnet)
  • KadNap (other)
  • Tofsee (botnet)
  • SystemBC (botnet)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ bitsight.com — source reconnue (Rösti community) (20pts)
  • ✅ 28554 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bitsight.com/blog/residential-proxy-services-malware-ecosystems