Negli ultimi mesi il panorama della sicurezza informatica è stato segnato da una svolta importante nel comportamento della botnet Aisuru. Originariamente conosciuta per aver condotto attacchi DDoS di portata record tramite centinaia di migliaia di dispositivi Internet of Things (IoT) compromessi, Aisuru sta ora puntando su un business più redditizio e discreto: l’affitto di dispositivi IoT infetti come proxy residenziali. Questo passaggio segna una nuova fase nella criminalità informatica, dove i botnet vengono sfruttati soprattutto per fornire anonimato e capacità di eludere i controlli sulle reti, alimentando servizi proxy che vengono poi utilizzati per lo scraping di dati su larga scala, in particolare per progetti di intelligenza artificiale.

Aisuru è stata individuata per la prima volta nell’agosto 2024 e si stima abbia infettato almeno 700.000 dispositivi, tra router domestici e telecamere di sicurezza poco protette. Dopo una serie di attacchi DDoS devastanti che hanno colpito anche importanti provider americani ed europei, la botnet si è evoluta per rendere i dispositivi compromessi facilmente noleggiabili da fornitori di proxy residenziali. Questi servizi permettono ai clienti di apparire come utenti normali in qualunque città del mondo, rendendo molto difficile per i siti web distinguere il traffico legittimo da quello malevolo. Anche se le reti proxy possono essere sfruttate per attività lecite, sono frequentemente abusate per nascondere frodi, furti di credenziali e campagne di scraping.

Il fenomeno sta conoscendo una crescita senza precedenti. Secondo i dati di Spur.us, negli ultimi sei mesi i principali servizi proxy hanno visto i loro pool di indirizzi IP aumentare fino a 200 volte. Alcuni provider registrano oggi decine di milioni di IP residenziali disponibili, spesso alimentati da app truffaldine o da SDK nascosti in software apparentemente innocui che trasformano i dispositivi degli utenti in nodi proxy a loro insaputa. La maggior parte di questi servizi è gestita da un ristretto gruppo di aziende, con IPidea come uno dei principali attori globali, che opera anche attraverso brand come ABCProxy, Roxlabs, LunaProxy e molti altri, sotto l’ombrello di HK Network.

Questa abbondanza di proxy residenziali sta favorendo soprattutto le aziende di AI, che li usano per alimentare i loro modelli linguistici attraverso pratiche aggressive di scraping, spesso in violazione delle regole dei siti web. Il traffico mascherato da milioni di IP domestici rende quasi impossibile bloccare efficacemente queste attività senza penalizzare anche utenti reali. La situazione è ulteriormente aggravata dalla proliferazione di botnet come Badbox e dal coinvolgimento di app e servizi VPN gratuiti che, in cambio dell’uso gratuito, trasformano i dispositivi degli utenti in strumenti per il cybercrime.