Censys State of the Internet Report 2025 untersucht die Infrastruktur von kompromittierten Residential-Proxy-Netzwerken

Censys, einer der führenden Anbieter von Lösungen für Threat Intelligence, Threat Hunting und Attack Surface Management, analysiert in seinem diesjährigen Forschungsbericht die Infrastrukturen von Cyberangriffen. Im Rahmen der Untersuchung haben die Forscher von Censys auch Residential Proxy-Netzwerke analysiert. Dabei wurde mit PolarEdge ein mutmaßliches ORB (Operation Relay Boxes)-Netzwerk untersucht, das Anfang August 2025 mit fast 40.000 Geräten aktiv war. PolarEdge zeigt, wie sich moderne IoT-Botnets von kurzlebigen Ausbrüchen zu einer dauerhaften, global verteilten Infrastruktur entwickeln, die langfristig heimlich böswillige Operationen unterstützt. Ein tieferes Verständnis der Infrastruktur von ORBs kann dabei helfen, weitere Proxy-basierte Angriffe zu erkennen und zu unterbinden.

Im alltäglichen regen Betrieb im Internet erfüllen viele Geräte still und leise eine doppelte Aufgabe und leiten – wissentlich oder unwissentlich – Datenverkehr über gewöhnliche Verbrauchergeräte weiter. Auch wenn nicht alle Residential Proxys bösartig sind, kompromittieren Angreifer häufig Router oder IoT-Geräte, um Proxy-Netzwerke zu schaffen. So lassen sich böswillige Aktivitäten hinter vertrauenswürdigen, geografisch verstreuten IP-Adressen verbergen. Dadurch sind sie weitaus schwieriger zu erkennen oder zu blockieren als Proxys in Rechenzentren und bieten Angreifern eine zusätzliche Ebene der Anonymität. ORBs sind eine besonders heimliche Art von böswilligen Proxys und müssen die Kernfunktion des Geräts nicht übernehmen. Stattdessen können sie den Datenverkehr unbemerkt im Hintergrund weiterleiten, während das Gerät weiterarbeitet. So ist eine Erkennung durch den Besitzer oder ISP unwahrscheinlich.

PolarEdge ist vermutlich seit Ende 2023 aktiv und folgte zunächst einem bekannten Muster durch die Ausnutzung einer kritischen Schwachstelle in Routern und die Implementierung von Base64-kodierten Webshells. Anfang 2025 verlagerte sich der Fokus von PolarEdge jedoch auf die dauerhafte Kompromittierung einer größeren Bandbreite an Edge-Geräten unter Verwendung einer benutzerdefinierten TLS-Backdoor. Diese Backdoor ermöglicht verschlüsselte Command and Control-Funktionen, die Bereinigung von Protokollen sowie dynamische Infrastruktur-Updates.

Mit Internet-Scan-Daten der Censys-Plattform von Anfang August 2025 konnten die Forscher insgesamt 39.847 Hosts beobachten, die das mit der Backdoor verbundene IOC-Zertifikat aufweisen. Zudem wurden die betroffenen Länder, Netzwerke und Gerätetypen kartografisch dargestellt. Dies vermittelt ein klareres Bild davon, wo sich die Infrastruktur des Botnetzes konzentriert und welche Arten von Internetdienstanbietern es bevorzugt. Mit 51,6 % befindet sich mehr als die Hälfte der betroffenen Hosts in Südkorea, 21,1 % in den USA. Schweden liegt mit 1.300 betroffenen Hosts auf Platz vier, Polen mit 350 Hosts auf Platz neun.

In weiteren Schritten konnten die Forscher weitere Erkenntnisse zu PolarEdge sammeln, etwa zur Zahl der infizierten Hosts pro Netzwerk oder zu den angegriffenen Ports und Geräten. Erfahren Sie im Blogbeitrag mehr über das konkrete Vorgehen der Censys-Forscher und ihre detaillierten Ergebnisse:https://censys.com/blog/2025-state-of-the-internet-digging-into-residential-proxy-infrastructure

Posted by on 10. September 2025.

Tags: attack-surface-management, cybersecurity, cybersicherheit, it-security, it-sicherheit, neuer-ffnung, threat-hunting, threat-intelligence, weihnachten

Categories: Allgemein

No Responses Yet

You must be logged in to post a comment.