Gli specialisti di Google Threat Intelligence Group (GTIG), insieme a FBI e altri partner, hanno interrotto la rete proxy residenziali NetNut, che utilizzava milioni di dispositivi per mascherare attività illegali. Il codice NetNut era preinstallato su dispositivi economici e nascosto in applicazioni gratuite, trasformava i dispositivi in nodi proxy. Questo ha permesso agli aggressori di accedere ad altri dispositivi sulla rete domestica e di utilizzare il traffico per attacchi di password spraying.
Gli specialisti di Google, insieme a FBI, Lumen, Shadowserver Foundation e altri partner hanno interrotto le attività di una delle più grandi reti proxy residenziali: NetNut. Secondo gli analisti di Google Threat Intelligence Group (GTIG), gli operatori hanno perso l’accesso a diversi milioni di nodi.
La rete NetNut (nota anche come Popa) copre almeno 2 milioni di dispositivi in tutto il mondo, tra cui smart TV, streaming box e altri dispositivi elettronici.
Tali gadget si trasformano in nodi di output della rete e i client del servizio proxy sono in grado di instradare il proprio traffico attraverso di essi.
Advertising
Il traffico proveniente da proxy residenziali assomiglia alla normale attività di un utente domestico, rendendone più difficile il blocco. Questo viene utilizzato attivamente dagli aggressori che nascondono la loro posizione e infrastruttura.
Come scrivono i ricercatori, il codice NetNut era preinstallato su dispositivi economici di marchi poco conosciuti ed era anche nascosto in applicazioni gratuite.
Una volta eseguito, questo codice trasformava il dispositivo in un nodo proxy attraverso il quale passava il traffico di altre persone, consentendo potenzialmente agli aggressori di accedere ad altri dispositivi sulla rete domestica. È stato inoltre stato osservato che alcuni dei dispositivi infetti alla fine sono finiti in botnet di grandi dimensioni (ad esempio, varianti di Mirai e Badbox 2.0).
In una sola settimana di giugno, gli specialisti GTIG hanno contato 316 cluster di attività utilizzando i nodi NetNut. Tra di loro c’erano sia gruppi di hacker che di spionaggio che nascondevano le fonti della loro attività e si lanciavano in attacchi di password spraying.
Recentemente il famoso giornalista di sicurezza informaticaBrian Krebs ha riferito, a differenza della maggior parte delle reti simili, che il servizio NetNut è risultato essere associato alla società pubblica israeliana Alarum Technologies, le cui azioni sono quotate al Nasdaq con il ticker ALAR. Krebs sottolinea che in precedenza i ricercatori di Qurium, Synthient, Nokia Deepfield e Spur collegavano NetNut alla rete Popa.
Advertising
Inoltre, il mese scorso Synthient ha inviato traffico attraverso il gateway commerciale NetNut come parte di un esperimento controllato. Di conseguenza, il traffico arrivava a Internet tramite un dispositivo preconnesso a Popa. Ma i ricercatori hanno scritto che questo test conferma il percorso del traffico, ma non prova che NetNut fosse a conoscenza dell’origine dei nodi o che avesse creato deliberatamente una botnet. I risultati ora pubblicati dagli analisti di Google sono coerenti con i risultati di questi studi indipendenti.
Allo stesso tempo, i rappresentanti di Alarum non sono d’accordo con l’uso del termine “botnet” e definiscono i dati pubblicati dai ricercatori “imprecisi ed errati”. La società afferma che NetNut è una “rete proxy commerciale legittima” e gli utenti forniscono volontariamente il servizio con larghezza di banda inutilizzata sui propri dispositivi. Separatamente, la dichiarazione dell’azienda ha sottolineato che il software non mette a rischio i dispositivi.
Tuttavia, Synthient ha riferito che nessuna delle applicazioni studiate ha chiesto agli utenti il consenso per trasmettere traffico.
Come scrivono gli esperti di Google, è impossibile neutralizzare completamente la rete NetNut in una sola operazione. Il fatto è che il servizio opera tramite rivenditori che vendono l’accesso alla stessa infrastruttura con i propri marchi. Secondo i ricercatori, molti servizi proxy apparentemente indipendenti in realtà rivendono l’accesso alla rete NetNut.
Nell’ambito dell’operazione, gli specialisti di Google hanno disattivato gli account e i servizi utilizzati dagli operatori NetNut per gestire il malware. Inoltre, i dati sull’SDK NetNut e sull’infrastruttura server del servizio sono stati trasferiti ai partner di Google, alle forze dell’ordine e alle società di ricerca in modo che potessero anche rilevare e bloccare i componenti associati a questa rete.
Google ha anche aggiornato la protezione Play Protect. Ora avvisa automaticamente gli utenti riguardo alle app conosciute con SDK NetNut integrati, le disabilita sui dispositivi Android e blocca l’installazione.
Secondo gli esperti di GTIG, tutte queste misure hanno portato alla disconnessione di milioni di dispositivi dalla rete NetNut e hanno influenzato in modo significativo il funzionamento del servizio proxy stesso. Tuttavia, gli esperti definiscono l’incidente un’interruzione della rete e non la sua eliminazione. Il fatto è che dopo il blocco, gli operatori di tali piattaforme spesso acquistano capacità dai concorrenti e si trasformano essi stessi in rivenditori. Gli esperti ritengono che per ottenere un effetto a lungo termine sia necessario influenzare contemporaneamente l’infrastruttura di diversi fornitori correlati.
Ricordiamo che a gennaio 2026, Google e i suoi partner avevano già interrotto la rete cinese di proxy residenziali IPIDEA, e nel 2025 la società ha presentato istanza al tribunale contro gli operatori della botnet Badbox 2.0. I componenti di questa botnet, che includeva TV-Box Android hackerati, si sovrapponevano alla rete Popa.
In conclusione, gli esperti di Google hanno consigliato ancora una volta agli utenti di installare software solo da store ufficiali, verificare le autorizzazioni delle applicazioni VPN e proxy, non disattivare Google Play Protect ed evitare inoltre di utilizzare set-top box economici e televisori di produttori sconosciuti.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza:Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.