Jouw router als wapen: hoe criminelen consumentenapparatuur misbruiken

2 juni 2026 in

Kaap Hoorn ICT Security B.V., Kasper de Waard

Stel: iemand voert een DDoS-aanval uit op een ziekenhuis. De aanval lijkt afkomstig van duizenden gewone internetgebruikers verspreid over Europa, thuisverbindingen van mensen die nergens van weten. Een van die verbindingen zou zomaar die van jou kunnen zijn.

Dit is de realiteit van residential proxies. Cybersecurityonderzoekers en Europese CERT's signaleren een duidelijke toename van dit fenomeen. De gevolgen voor zowel organisaties als consumenten zijn aanzienlijk.

Wat is een residential proxy?

Een residential proxy gebruikt de internetverbinding van een consument, bijvoorbeeld een thuisrouter, smartphone of smart-tv-box, om verkeer van derden door te sturen. Omdat dat verkeer afkomstig lijkt van een echt woonadres, kunnen beveiligingssystemen het nauwelijks onderscheiden van legitiem verkeer.

Dat maakt residential proxies fundamenteel anders dan datacenterproxies. Datacenterproxies draaien via commerciële servers en zijn relatief eenvoudig als kunstmatig verkeer te herkennen. Residential proxies zijn daarentegen gekoppeld aan echte huishoudens en echte internetabonnementen. Juist daardoor zijn ze aantrekkelijk voor partijen die hun activiteiten willen verhullen.

Hoe belandt jouw apparaat in zo'n netwerk?

Er zijn grofweg drie manieren waarop apparaten onderdeel worden van een residential proxy-netwerk.

Bewust vrijwillig

Sommige gebruikers installeren bewust proxysoftware. Bijvoorbeeld om geografische beperkingen te omzeilen of om een kleine vergoeding te ontvangen voor het delen van hun verbinding. Zij weten wat ze doen.

Onbewust "vrijwillig"

Andere gebruikers accepteren de voorwaarden van gratis VPN-diensten, streamingapps of browserextensies zonder deze te lezen. In die voorwaarden staat soms dat de internetverbinding gedeeld mag worden met derden. Juridisch gezien is er toestemming gegeven, maar in de praktijk zijn veel gebruikers zich hier niet van bewust.

Onbewust en onbekend

De meest problematische categorie bestaat uit apparaten die zijn geïnfecteerd met malware. De malware installeert ongemerkt een proxyfunctie, zonder dat de eigenaar hiervan op de hoogte is.

Dit gebeurt onder meer via gratis software, zoals PDF Editor en ManualFinder, die recent in verband zijn gebracht met malwarecampagnes, via apps uit niet-officiële appstores of via kwetsbaarheden in IoT-apparaten zoals routers en Android-tv-boxen.

In deze situatie is geen sprake van toestemming, maar van misbruik.

De schaal is groter dan je denkt

Aanbieders van residential proxies claimen soms toegang te hebben tot honderden miljoenen IP-adressen. Hoewel dergelijke aantallen moeilijk onafhankelijk te verifiëren zijn, laten verschillende onderzoeken zien dat een aanzienlijk deel van deze infrastructuur afkomstig is van gecompromitteerde systemen.

Onderzoek van IPinfo naar 170 miljoen IP-adressen concludeerde dat een groot deel van de aangeboden residential proxies afkomstig was van malware-infecties en gecompromitteerde infrastructuur, ondanks claims dat deze adressen "ethically sourced" zouden zijn. Daarnaast analyseerde GreyNoise vier miljard proxysessies en stelde vast dat slechts 39 procent daadwerkelijk afkomstig was van reguliere thuisverbindingen. De rest bleek afkomstig van systemen waarvan de eigenaar waarschijnlijk niet wist dat deze onderdeel waren van een proxy-netwerk.

Ook Google waarschuwt dat residential proxies op grote schaal worden misbruikt door malafide actoren.

Waarvoor worden ze misbruikt?

Residential proxies spelen een steeds grotere rol binnen moderne cyberaanvallen.

DDoS-aanvallen

DDoS-aanvallen worden omvangrijker en lastiger te mitigeren doordat het verkeer afkomstig lijkt van miljoenen legitieme IP-adressen. Botnets zoals Aisuru en Kimwolf, die deels bestaan uit consumentenapparatuur, zijn verantwoordelijk geweest voor verschillende hyper-volumetrische aanvallen.

Phishing en spam

E-mails die worden verzonden vanaf residentiële IP-adressen hebben vaak een grotere kans om spamfilters te passeren. Daardoor kunnen phishingcampagnes meer slachtoffers bereiken.

Credential stuffing en brute-force-aanvallen

Aanvallers verspreiden inlogpogingen over duizenden IP-adressen tegelijk. Traditionele detectie op basis van IP-reputatie wordt hierdoor aanzienlijk minder effectief.

Misbruik van gestolen inloggegevens

Met residential proxies kunnen aanvallers inloggen vanaf een IP-adres uit dezelfde regio als het slachtoffer. Hierdoor worden risicogebaseerde authenticatiemechanismen minder effectief.

Malwaredistributie en command-and-control

Malwareverkeer kan worden verborgen achter ogenschijnlijk legitiem consumenteninternetverkeer. Dat maakt detectie en attributie aanzienlijk moeilijker.

Daar komt nog bij dat malware die een apparaat inzet als residential proxy zich soms lateraal door een netwerk kan bewegen. De proxy vormt dan een opstap naar verdere compromittering van systemen.

Waarom is dit zo moeilijk te bestrijden?

Het grootste probleem is dat legitiem en malafide gebruik sterk met elkaar verweven zijn.

Residential proxies worden niet uitsluitend gebruikt voor cybercriminaliteit. Ze hebben ook legitieme toepassingen, zoals webscraping, advertentieverificatie en marktonderzoek. Het volledig blokkeren van residential proxy-verkeer zou daarom ook legitieme gebruikers treffen.

Tegelijkertijd verliezen traditionele indicatoren, zoals IP-reputatie, steeds meer hun waarde. De gebruikte IP-adressen behoren immers toe aan echte consumenten. Bovendien wisselen deze adressen snel; volgens onderzoek verschijnt 78 procent van de waargenomen proxy-IP's slechts één keer binnen een periode van negentig dagen.

Dit dwingt organisaties tot andere detectiestrategieën, gebaseerd op gedragspatronen in plaats van op de herkomst van verkeer.

Wat kun je doen?

Voor organisaties

Voorkom dat apparaten binnen het netwerk onderdeel worden van een proxy-netwerk. Zorg voor goed asset management en een strikt beleid rondom apparaten en software.

Blokkeer waar mogelijk onnodige uitgaande proxyprotocollen zoals SOCKS5. Beperk installatierechten voor gebruikers. Segmenteer netwerken zodat een gecompromitteerd IoT-apparaat niet direct toegang biedt tot kritieke systemen.

Bescherming tegen inkomende aanvallen vraagt daarnaast om aanvullende maatregelen, zoals DDoS-mitigatie, CDN's, WAF's, zero-trust-toegangsbeleid en monitoring die zich richt op afwijkend gedrag in plaats van uitsluitend op IP-reputatie.

Voor consumenten en medewerkers

Wees kritisch op gratis software, met name VPN-diensten, proxytools, PDF-bewerkers en browserextensies. Download applicaties uitsluitend uit officiële appstores of van betrouwbare leveranciers.

Houd apparaten up-to-date en vervang systemen die geen beveiligingsupdates meer ontvangen. Gebruik sterke, unieke wachtwoorden en waar mogelijk multifactor-authenticatie.

Mogelijke signalen van misbruik zijn:

onverwacht hoog dataverbruik;
een trage internetverbinding;
antivirusmeldingen over proxy- of tunnelingsoftware;
websites die jouw IP-adres als verdacht markeren.

De bredere context: Cyber Resilience Act

Op 11 september 2026 worden belangrijke onderdelen van de Cyber Resilience Act van toepassing binnen de Europese Unie.

De wet verplicht fabrikanten van hardware en software om cybersecurity vanaf het ontwerp mee te nemen. Denk aan secure-by-design-principes, beter supply-chain-toezicht en het leveren van beveiligingsupdates gedurende de levenscyclus van een product.

Dat raakt direct aan het residential-proxyprobleem. Hoe minder kwetsbaar apparaten zijn voor malware-infecties, hoe kleiner de kans dat zij onderdeel worden van een proxy-netwerk. Ook krijgt het toezicht op kwetsbaarheden en actief misbruik een prominentere rol binnen het Europese cybersecuritylandschap.

Conclusie

Residential proxies zijn geen nieuw fenomeen, maar de schaal waarop ze tegenwoordig worden ingezet is zorgwekkend. De dreiging is diffuus: miljoenen consumentenapparaten zijn online, vaak beperkt beveiligd, zelden gemonitord en soms jarenlang niet geüpdatet.

Voor organisaties betekent dit dat traditionele beveiligingsmaatregelen, gebaseerd op IP-reputatie of geografische herkomst van verkeer, steeds minder effectief worden. Aanvallers maken immers gebruik van echte internetverbindingen van echte gebruikers.

De boodschap van het Nationaal Cyber Security Centrum is daarom duidelijk: wees terughoudend met residential proxies, zowel als afnemer als aanbieder. En houd niet alleen je servers en werkstations in de gaten, maar ook de minder opvallende apparaten binnen je omgeving. Juist daar begint vaak het probleem.

Kaap Hoorn ICT Security B.V., Kasper de Waard 2 juni 2026

Deel deze post

Labels

Archief

Whitepapers

Wilt u weten of uw bedrijf goed beveiligd is tegen cyberaanvallen? Download gratis onze whitepapers.

Bestendige beveiliging tegen cyberaanvallen

Doordat er dagelijks nieuwe kwetsbaarheden worden ontdekt in applicaties, besturingssystemen en databases, kan de kwaliteit van de netwerkbeveiliging veranderen. Steeds meer organisaties vragen zich dan ook af wat de actuele status van hun beveiliging is en of ze kwetsbaar zijn voor interne en externe aanvallen.

Whitepaper-Secity-Bestendige-beveiliging-tegen-cyberaanvallen.pdf

Alles wat u moet weten over Security Headers

Deze whitepaper gaat in het bijzonder over de Security Headers. Deze spelen namelijk een rol bij het beveiligen van uw website. Zij zijn belangrijk om zowel u als uw website gebruiker te beschermen tegen cybercriminelen.

Case Studies

Wilt u weten of uw bedrijf bestand is tegen ransomware en hoe u aanvallen voorkomt? Download onze gratis case studies.

Cyberaanval in de praktijk

In 2023 meldde 45% van de bedrijven wereldwijd slachtoffer te zijn geweest van een ransomware-aanval. Omdat ransomware zich steeds verder ontwikkelt, kan zelfs de eenvoudigste vorm ervan veel tijd en geld kosten.

Ransomware-Case-Study-180924.pdf

Brochures

Onze brochures zijn hier gratis te bekijken en te downloaden.

Microsoft 365

Veel bedrijven die de overstap maken naar Microsoft 365 beseffen niet dat veel van de beveiligingsmaatregelen, die in hun lokale Exchange-omgeving werden toegepast, niet standaard actief zijn in de Microsoft-omgeving. Ons onderzoek naar Microsoft 365 focust op de aanbevolen beveiligingsinstellingen die organisaties zouden moeten implementeren om hun Office 365-tenant veilig te configureren en te gebruiken.

Pentest

Een pentest richt zich doorgaans op één ofmeerdere onderdelen van uw ITinfrastructuur. Pentests zijn eigenlijk een soortsteekproeven. Onze analyse houdt daarechter niet op.

Security Awareness

Toegang krijgen tot uw netwerk gebeurtvaak via verschillende vormen van socialengineering-aanvallen. Phishing maakt inde basis gebruik van angst, urgentie, ofaanbiedingen die te mooi lijken om waarte zijn. Vooral angst en urgentie blijkenhierbij het meest effectief.

Nulmeting

Zorg voor een veilige digitale omgeving met de Critcal Security Controls. Deze beproefde set van 18 essentiele beveiligingsmaatregelen is ontworpen om organisaties te beschermen tegen de meest voorkomende cyberbedreigingen. Van het beheren van gebruikersaccounts tot het monitoren van netwerkverkeer.

Roadmap

Of u zich nu wilt beschermen tegengeautomatiseerde aanvallen, gerichte aanvallen ofaanvallen van gelegenheid, onze roadmap isontworpen voor bedrijven die hun cybersecurity opeen volwassen manier willen aanpakken. Het biedtsnel inzicht in zowel de interne als externe attacksurface van de organisatie en geeft een actueelbeeld van de huidige stand van zaken.

NIS2

De Europese Unie heeft de NIS2-

richtlijn opgesteld om te voorkomen

dat cybersecurityincidenten leiden tot

verstoringen van essentiële en

belangrijke diensten. Zulke incidenten

kunnen grote maatschappelijke

ontwrichting, economische schade en

ernstige hinder voor Europese burgers

tot gevolg hebben.