GTIG zerschlägt bösartiges Proxy-Netzwerk mit 2 Millionen Geräten (NetNut)

(Auszug aus der Pressemitteilung)

Gestern hat die Google Threat Intelligence Group (GTIG) in Abstimmung mit dem FBI und anderen Branchenpartnern Maßnahmen ergriffen, um NetNut (auch bekannt als Popa), eines der weltweit größten bösartigen Wohn-Proxy-Netzwerke, zu zerschlagen.

Anzeige

Beispiel für eine vom FBI beschlagnahmte Domain: https://netnut[.]com/isp-proxies/

Warum das wichtig ist: Die Proxy-Branche ist tief vernetzt, da Betreiber ständig die Botnetz-Kapazitäten der anderen kaufen und weiterverkaufen, und NetNut gehört zu den größten und beliebtesten Wohn-Proxy-Netzwerken der Welt. Aufbauend auf der IPIDEA-Zerschlagung Anfang dieses Jahres beeinträchtigt die Reduzierung des NetNut-Pools um Millionen von Geräten dessen einzelne Operationen und treibt das Engagement von GTIG zur Zerschlagung von Proxy-Botnetzen weiter voran.

Wichtige Details aus dem Blog:

  • Massive Reichweite: GTIG schätzt, dass NetNut weltweit mindestens 2 Millionen infizierte Geräte kontrolliert (einschließlich Smart-TVs und Streaming-Boxen), angetrieben durch trojanisierte Anwendungen und Botnetze wie Badbox 2.0, die Proxy-Plugins enthalten.
  • Weit verbreitete Ausnutzung: In einer einzigen Woche im Juni 2026 beobachtete GTIG 316 verschiedene Bedrohungscluster – darunter Cyberkriminelle und Spionagegruppen –, die NetNut nutzten, um ihre Herkunfts-IPs zu maskieren, Password-Spraying-Angriffe durchzuführen und auf Opferumgebungen zuzugreifen.
  • Risiko für Verbraucher: NetNut verwandelt Verbraucherhardware in Exit-Nodes, wodurch private Heimnetzwerke größeren Internet-Bedrohungen ausgesetzt werden und legitimer Benutzerverkehr von ISPs markiert oder blockiert wird.
  • Ergriffene Maßnahmen:
    • Abbau der Infrastruktur: Deaktivierung von Google-Konten und -Diensten, die von NetNut für die Steuerung und Kontrolle von Malware (C2) ausgenutzt wurden, wodurch die kritische Backend-Infrastruktur abgeschnitten wurde.
    • Durchsetzung des Ökosystems: Automatische Warnung von Benutzern und Deaktivierung infizierter Anwendungen über Google Play Protect, während technische Bedrohungsinformationen in großem Umfang mit Plattformanbietern, Forschungsunternehmen und Strafverfolgungsbehörden geteilt wurden.