Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Computer server centrale collegato a laptop, smart tv, smartphone e telecamere in prospettiva tecnologica che simula una botnet.

Google e FBI fermano NetNut, la gigantesca rete di proxy residenziali. Milioni di dispositivi coinvolti

4 Luglio 2026 11:00
In sintesi

Gli specialisti di Google Threat Intelligence Group (GTIG), insieme a FBI e altri partner, hanno interrotto la rete proxy residenziali NetNut, che utilizzava milioni di dispositivi per mascherare attività illegali. Il codice NetNut era preinstallato su dispositivi economici e nascosto in applicazioni gratuite, trasformava i dispositivi in nodi proxy. Questo ha permesso agli aggressori di accedere ad altri dispositivi sulla rete domestica e di utilizzare il traffico per attacchi di password spraying.

Gli specialisti di Google, insieme a FBI, Lumen, Shadowserver Foundation e altri partner hanno interrotto le attività di una delle più grandi reti proxy residenziali: NetNut. Secondo gli analisti di Google Threat Intelligence Group (GTIG), gli operatori hanno perso l’accesso a diversi milioni di nodi.

La rete NetNut (nota anche come Popa) copre almeno 2 milioni di dispositivi in tutto il mondo, tra cui smart TV, streaming box e altri dispositivi elettronici.

Tali gadget si trasformano in nodi di output della rete e i client del servizio proxy sono in grado di instradare il proprio traffico attraverso di essi.

Advertising

Il traffico proveniente da proxy residenziali assomiglia alla normale attività di un utente domestico, rendendone più difficile il blocco. Questo viene utilizzato attivamente dagli aggressori che nascondono la loro posizione e infrastruttura.

Diagramma che mostra dispositivi smart home connessi tra loro tramite Wi-Fi ed Ethernet

Come scrivono i ricercatori, il codice NetNut era preinstallato su dispositivi economici di marchi poco conosciuti ed era anche nascosto in applicazioni gratuite.

Una volta eseguito, questo codice trasformava il dispositivo in un nodo proxy attraverso il quale passava il traffico di altre persone, consentendo potenzialmente agli aggressori di accedere ad altri dispositivi sulla rete domestica. È stato inoltre stato osservato che alcuni dei dispositivi infetti alla fine sono finiti in botnet di grandi dimensioni (ad esempio, varianti di Mirai e Badbox 2.0).

In una sola settimana di giugno, gli specialisti GTIG hanno contato 316 cluster di attività utilizzando i nodi NetNut. Tra di loro c’erano sia gruppi di hacker che di spionaggio che nascondevano le fonti della loro attività e si lanciavano in attacchi di password spraying.

Recentemente il famoso giornalista di sicurezza informatica Brian Krebs ha riferito, a differenza della maggior parte delle reti simili, che il servizio NetNut è risultato essere associato alla società pubblica israeliana Alarum Technologies, le cui azioni sono quotate al Nasdaq con il ticker ALAR. Krebs sottolinea che in precedenza i ricercatori di Qurium, Synthient, Nokia Deepfield e Spur collegavano NetNut alla rete Popa.

Advertising

Inoltre, il mese scorso Synthient ha inviato traffico attraverso il gateway commerciale NetNut come parte di un esperimento controllato. Di conseguenza, il traffico arrivava a Internet tramite un dispositivo preconnesso a Popa. Ma i ricercatori hanno scritto che questo test conferma il percorso del traffico, ma non prova che NetNut fosse a conoscenza dell’origine dei nodi o che avesse creato deliberatamente una botnet. I risultati ora pubblicati dagli analisti di Google sono coerenti con i risultati di questi studi indipendenti.

UI cybersecurity con testo non leggibile, bottoni, icone e diagramma con frecce

Allo stesso tempo, i rappresentanti di Alarum non sono d’accordo con l’uso del termine “botnet” e definiscono i dati pubblicati dai ricercatori “imprecisi ed errati”. La società afferma che NetNut è una “rete proxy commerciale legittima” e gli utenti forniscono volontariamente il servizio con larghezza di banda inutilizzata sui propri dispositivi. Separatamente, la dichiarazione dell’azienda ha sottolineato che il software non mette a rischio i dispositivi.

Tuttavia, Synthient ha riferito che nessuna delle applicazioni studiate ha chiesto agli utenti il consenso per trasmettere traffico.

Come scrivono gli esperti di Google, è impossibile neutralizzare completamente la rete NetNut in una sola operazione. Il fatto è che il servizio opera tramite rivenditori che vendono l’accesso alla stessa infrastruttura con i propri marchi. Secondo i ricercatori, molti servizi proxy apparentemente indipendenti in realtà rivendono l’accesso alla rete NetNut.

Nell’ambito dell’operazione, gli specialisti di Google hanno disattivato gli account e i servizi utilizzati dagli operatori NetNut per gestire il malware. Inoltre, i dati sull’SDK NetNut e sull’infrastruttura server del servizio sono stati trasferiti ai partner di Google, alle forze dell’ordine e alle società di ricerca in modo che potessero anche rilevare e bloccare i componenti associati a questa rete.

Google ha anche aggiornato la protezione Play Protect. Ora avvisa automaticamente gli utenti riguardo alle app conosciute con SDK NetNut integrati, le disabilita sui dispositivi Android e blocca l’installazione.

Secondo gli esperti di GTIG, tutte queste misure hanno portato alla disconnessione di milioni di dispositivi dalla rete NetNut e hanno influenzato in modo significativo il funzionamento del servizio proxy stesso. Tuttavia, gli esperti definiscono l’incidente un’interruzione della rete e non la sua eliminazione. Il fatto è che dopo il blocco, gli operatori di tali piattaforme spesso acquistano capacità dai concorrenti e si trasformano essi stessi in rivenditori. Gli esperti ritengono che per ottenere un effetto a lungo termine sia necessario influenzare contemporaneamente l’infrastruttura di diversi fornitori correlati.

Ricordiamo che a gennaio 2026, Google e i suoi partner avevano già interrotto la rete cinese di proxy residenziali IPIDEA, e nel 2025 la società ha presentato istanza al tribunale contro gli operatori della botnet Badbox 2.0. I componenti di questa botnet, che includeva TV-Box Android hackerati, si sovrapponevano alla rete Popa.

In conclusione, gli esperti di Google hanno consigliato ancora una volta agli utenti di installare software solo da store ufficiali, verificare le autorizzazioni delle applicazioni VPN e proxy, non disattivare Google Play Protect ed evitare inoltre di utilizzare set-top box economici e televisori di produttori sconosciuti.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response