Meer dan 65% van bedrijfsnetwerken toont residential proxy-activiteit

Onderzoek van Infoblox Threat Intel toont aan dat residential proxies diep zijn ingebed in bedrijfsnetwerken. In 2026 vertoonde meer dan 65% van de klanten van Infoblox Threat Defense Cloud DNS-activiteit gerelateerd aan residential proxy-netwerken. Het maandelijkse queryvolume naar proxy-domeinen groeide met ongeveer 25% tussen januari 2025 en april 2026, tot meer dan 500 miljard queries per maand.

Infoblox Threat Intel publiceerde het onderzoek in samenwerking met Synthient, voortbouwend op eerder werk rond het Kimwolf-botnet. De onderzoekers analyseerden miljarden DNS-resoluties en bijbehorende netwerktelemetrie binnen het klantenbestand. Uit die analyse blijkt dat de aanwezigheid van residential proxy-gerelateerd verkeer geen randfenomeen is, maar structureel voorkomt in productieomgevingen.

Hoe residential proxies werken

Residential proxies leiden internetverkeer om via consumentenapparaten zoals thuisrouters, mobiele telefoons, IoT-apparaten en systemen waarop apps met ingebouwde proxysoftware draaien. Het verkeer lijkt daardoor afkomstig van een echte consument in plaats van een datacenter. Legitieme toepassingen bestaan, zoals webscraping of het omzeilen van geo-restricties, maar dezelfde eigenschappen maken deze proxies ook bruikbaar voor kwaadwillenden. Ze omzeilen IP-reputatiesystemen, fraudedetectie en verificatiecontroles, waardoor schadelijk verkeer opgaat in normaal consumentenverkeer.

Voor organisaties betekent dit dat als een derde partij verdachte activiteit ziet vanuit hun IP-ruimte, de organisatie als eerste als bron wordt aangemerkt, met mogelijke reputatie-, juridische en operationele gevolgen.

Omvang en groei

Volgens Infoblox steeg het maandelijkse queryvolume naar residential proxy-domeinen van bijna 400 miljard in januari 2025 naar meer dan 500 miljard in april 2026. Het bedrijf wijst AI-gerelateerde webscraping aan als een belangrijke aanjager: residential proxies maken het mogelijk dat geautomatiseerd verkeer eruitziet als afkomstig van echte consumenten.

De sectorale spreiding is opvallend breed. Infoblox meldt dat in elke branchecategorie minimaal 40% van de klanten proxy-gerelateerd verkeer vertoonde. In de farmaceutische sector en de voedings- en drankenindustrie lag dat cijfer boven de 90%. Bij overheids- en bankklanten was dat meer dan 60%.

Instappunten via alledaagse software

Een bijzonder punt uit het onderzoek is hoe systemen worden ingeschreven in proxy-netwerken. Infoblox Threat Intel geeft aan dat dit doorgaans niet via zichtbare malware verloopt, maar via veelgebruikte tools: gratis VPN-apps, streamingapplicaties, schermbeveiligers, ‘productiviteits’-apps en goedkope IoT-apparaten. Gebruikers stemmen technisch gezien in via gebruiksvoorwaarden, maar de relevante bepalingen zijn vaak diep begraven in juridische documenten.

Renée Burton, Vice President van Infoblox Threat Intel, waarschuwt dat een externe partij via deze toegangspunten de middelen van een organisatie kan inzetten voor criminele activiteiten, waarbij de reputatie en het IP-adres van die organisatie worden misbruikt. Burton geeft aan dat beleidsmakers de gevaren van residential proxies, de vereisten voor geïnformeerde toestemming en de verantwoordelijkheid van proxyproviders nader moeten onderzoeken. Voor organisaties bepleit Burton een aanpak op meerdere niveaus, waarbij beschermende DNS wordt ingezet om verbindingen met ongewenste proxydiensten te blokkeren.

Analytische druk op securityteams

Naast het directe risico wijst het onderzoek op een indirect effect: proxy-gerelateerd verkeer kan een disproportioneel groot alertvolume genereren. Dat vergroot de analysedruk op securityteams die al onder druk staan. Organisaties die niet weten of, waarom en in welke mate deze diensten aanwezig zijn in hun omgeving, hebben daarmee een snel groeiend blinde vlek in hun beveiligingsbeleid.

Het bericht Meer dan 65% van bedrijfsnetwerken toont residential proxy-activiteit verscheen eerst op MSP Business.