Proxy Résidentiel

🗓️ Contexte Publié le 18 juin 2026 sur KrebsOnSecurity, cet article synthétise les rapports simultanés de plusieurs sociétés de sécurité (Qurium, Synthient, Spur, Nokia Deepfield, Black Lotus Labs/Lumen, Include Security, Infoblox) concernant le botnet Popa et son lien avec NetNut, opérateur de proxies résidentiels filiale d’Alarum Technologies Ltd (NASDAQ: ALAR), société israélienne cotée en bourse. 🦠 Description du botnet Popa Popa est un botnet Android actif depuis environ quatre ans, ciblant principalement des box TV Android non officielles vendues en ligne. Il s’agit d’un composant plugin associé au botnet Vo1d. Ses caractéristiques principales : ...

🔍 Contexte : Le 18 juin 2026, Qurium Media Foundation publie une investigation approfondie, en collaboration avec Nokia Deepfield Emergency Response Team et Synthient, sur l’infrastructure derrière deux événements massifs de scraping ayant ciblé des organisations hébergées en mai 2026, dont le site d’Arab Reporters for Investigative Journalism (ARIJ), touché par ~1,35 million d’adresses IP uniques. 🦠 Nature de la menace : Popa est un SDK/plugin de proxy résidentiel conçu pour enrôler des appareils (avec ou sans consentement) afin qu’ils servent de nœuds relais dans un réseau proxy résidentiel. Il est intégré comme composant du botnet Vo1d (aussi connu sous Badbox 2.0), ciblant principalement les TV boxes Android. L’infrastructure globale est désignée sous le nom Popanet. ...

🔍 Contexte Publié le 18 juin 2026 par la Nokia Deepfield Emergency Response Team (ERT), ce rapport documente l’analyse statique du client Windows de RoboVPN, un VPN commercial gratuit édité par Cyberkick Ltd. L’analyse repose exclusivement sur le désassemblage statique (MSI, .NET, ILSpy, Ghidra) sans exécution de malware. 🧩 Composants identifiés L’installateur MSI contient un bundle .NET 6 (57 assemblies compressées) et quatre DLL natives x64. Parmi les dépendances NuGet déclarées comme routinières figure NeunativeNG 8.0.36, un SDK proxy résidentiel qui : ...

🗓️ Contexte Source : Ars Technica (Dan Goodin), publié le 29 mai 2026. L’opération a été annoncée par la police néerlandaise et le National Cyber Security Center (NCSC) des Pays-Bas à la suite du signalement d’un chercheur en sécurité. 🎯 Opération de démantèlement Les autorités néerlandaises ont saisi plusieurs serveurs de botnet hébergés aux Pays-Bas auprès d’un fournisseur d’hébergement. Le botnet était composé de : Plus de 17 millions d’appareils compromis 200 serveurs de gestion L’hébergeur a mis le botnet hors ligne en raison de son utilisation à des fins criminelles. ...

🔍 Contexte Publié le 28 mai 2026 par Plume Security Labs (Plume Design, Inc.), ce rapport de recherche en deux parties documente l’investigation menée sur les appareils de streaming SuperBox (séries S4, S5, S6, S6MAX). L’enquête a débuté après que le NOC de Plume a détecté un volume anormal de trafic sortant provenant de ces appareils au sein de réseaux résidentiels, menaçant leur stabilité. 🎯 Vecteurs d’infection identifiés L’investigation a mis en évidence plusieurs vecteurs permettant l’installation de logiciels malveillants : ...

🔍 Contexte Publié le 7 mai 2026 par Valter Santos (Principal Threat Researcher, Bitsight), cet article présente les résultats d’une investigation empirique menée sur 55 jours (19 janvier – 15 mars 2026) portant sur l’écosystème mondial des services de proxies résidentiels (RESIP). 📊 Échelle observée L’étude a ciblé 30 services de proxies parmi plus de 150, sélectionnés pour leur faible vérification KYC. Les chiffres clés : 989 686 388 événements d’énumération totaux 53 346 368 IPs uniques globales 36 842 328 IPs uniques sur les 30 derniers jours Pics journaliers : Netnut (2,3M nœuds), LunaProxy (1,85M), 711Proxy (1,65M), 922Proxy (1,64M), ThunderProxy (1,47M) 🦠 Taux d’infection et symbiose malware La corrélation entre les IPs de sortie des proxies et les datasets de systèmes compromis de Bitsight révèle : ...

🗞️ Contexte Article publié le 2 avril 2026 par le Wall Street Journal, relatant l’investigation ayant conduit au démantèlement du botnet Kimwolf, l’un des plus puissants jamais observés sur internet. L’opération de police fédérale américaine a été annoncée le 19 mars 2026. 🎯 Le botnet Kimwolf Kimwolf est un botnet de type DDoS-as-a-service ayant lancé plus de 26 000 attaques DDoS ciblant plus de 8 000 victimes. À son apogée, il comptait environ 2 millions d’appareils compromis, avec des dizaines de milliers de nouveaux appareils ajoutés quotidiennement. Les opérateurs dépensaient environ 30 000 dollars par mois pour les serveurs de commande et contrôle. ...

🌐 Contexte Publié le 2 avril 2026 sur The Cyber Express, cet article fait suite au démantèlement du service proxy résidentiel criminel SocksEscort par le FBI et plusieurs agences internationales. L’enquête a mis en lumière le rôle central du malware AVrecon dans la construction et l’exploitation de cette infrastructure. 🦠 Fonctionnement d’AVrecon AVrecon se propage en scannant Internet à la recherche de dispositifs exposant des services vulnérables. Les vecteurs d’infection incluent : ...

Selon KrebsOnSecurity (23 janvier 2026), le botnet IoT Kimwolf s’est rapidement étendu fin 2025 en abusant de services de proxies résidentiels pour pivoter vers les réseaux locaux, avec une présence notable dans des réseaux d’administrations et d’entreprises. • Nature de la menace: Kimwolf est un botnet IoT ayant infecté plus de 2 millions d’appareils, utilisés pour des attaques DDoS massives et le relais de trafic malveillant (fraude publicitaire, prises de contrôle de comptes, scraping de contenu). Sa capacité à scanner les réseaux locaux des points d’accès compromis lui permet d’infecter d’autres IoT à proximité. ...

Contexte: KrebsOnSecurity publie une enquête sur des boîtiers Android TV (Superbox et modèles similaires) vendus sur de grandes places de marché et susceptibles d’intégrer des composants qui transforment les réseaux des utilisateurs en proxys résidentiels exploités pour des activités illicites. • Les boîtiers Superbox sont commercialisés ~400 $ avec la promesse d’accéder à plus de 2 200 services, mais requièrent le remplacement du Google Play Store par un « App Store/Blue TV Store » non officiel. Des experts indiquent que ces appareils relaient du trafic tiers via un réseau proxy résidentiel (ex. Grass/getgrass[.]io), malgré l’affirmation du fabricant qu’il ne fournit que le matériel et n’installe pas d’apps contournant les paywalls. ...