Владельцы сетей резидентных прокси используют IP-адреса, выданные пользователям интернет-провайдерами и перепродают к ним доступ злоумышленникам. Для систем защиты трафик выглядит как активность домашних устройств и вызывает меньше подозрений, чем IP-адреса дата-центров. Использовать технологию можно как в законных целях, например, для тестирования рекламы, так и в преступных — для распространения вредоносного ПО, фишинга, спам-рассылок и DDoS-атак.
Согласно результатам пилотных внедрений системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) в 2024–2025 годах, следы активности резидентных прокси обнаружены в 46% исследуемых компаний. По большей части вредоносные прокси зафиксированы на личных устройствах сотрудников. Чаще всего в трафике встречается вредонос Infatica, превращающий компьютер в узел сети прокси.
Тенденцию роста резидентных прокси в инструментарии злоумышленников подтверждают и зарубежные компании. С августа по октябрь 2025 года сервис для отслеживания прокси-сетей Spur обнаружил 250 млн новых IP-адресов, что свидетельствует о беспрецедентном росте числа доступных прокси-серверов у большинства известных провайдеров. По оценке платформы Hcaptcha, от 30 до 90% запросов через резидентные прокси приходятся на хакерские атаки. Согласно полуторагодовому исследованию Nokia, порядка 100 млн устройств являются скрытными узлами сети прокси.
Злоумышленники могут применять резидентные прокси для распространения вредоносного ПО, фишинга, спам-рассылок, DDoS-атак и обхода систем антифрода и геоблокировки. Зловредные прокси-агенты часто устанавливаются на устройства пользователей вместе с бесплатными программами и незаметно запускают фоновую службу для перенаправления чужого трафика.
«Владелец зараженного устройства начинает участвовать в большой кампании по рассылке спама, сам того не понимая. В результате растет нагрузка на гаджет, снижается скорость интернета. Более того, провайдер может обратиться с претензиями к владельцу IP-адреса. При этом компании, владеющие сетями резидентных прокси, стараются выглядеть легитимными и заявляют, что пользователи добровольно соглашаются устанавливать их ПО. Чаще всего это неправда, — отметил Кирилл Шипулин, руководитель экспертизы продукта PT NAD в Positive Technologies. — Резидентные прокси могут нанести существенный вред стабильности процессов и, что важно, повлечь репутационные риски, поэтому Positive Technologies рекомендует внимательно следить за их появлением в сети вашей компании».
Поскольку резидентные прокси обходят защиту периметра, ключевой мерой для обеспечения кибербезопасности становится мониторинг и анализ трафика внутри сети. Продукты класса NTA/NDR, такие как PT NAD, позволяют обнаружить аномальную активность, характерную для прокси-агентов, даже если она замаскирована под легитимные действия пользователя. В качестве базовых мер безопасности эксперты Positive Technologies советуют применять антивирусы, системы предотвращения массовых и сложных целенаправленных кибератак для защиты конечных точек, а также песочницы для анализа подозрительных файлов и предотвращения проникновения ВПО.
