Der Sender scannt Ports und probiert es auf denen die frei sind. Ich habe das Phänomen schon auf mehreren Servern und verschiedenen Ports beobachtet.
Die IP Adressen sind zwar immer gleich allerdings kommt auch mal eine neue dazu. Ideal wäre wenn das Programm die Blacklist für sich selber generiert, was möglich ist.
Allerdings verstehe ich nicht wie es zu der hohen CPU Auslastung kommt.

Irgendwas innerhalb der Indy-Komponenten führt zu dem Verhalten.

Am besten wäre die allererste Stelle zu finden an der ein Connect stattfindet und dort gleich IP Adressen zu blockieren.

OnConnect scheint das nicht zu sein.

Irgendwas schicken die bei dem TCP-Connect mit was zu dem Verhalten führt.