De Amerikaanse Federal Bureau of Investigation (FBI) heeft in samenwerking met diverse industriële partners honderden domeinen in beslag genomen die gekoppeld zijn aan NetNut. Dit is een uitgebreide proxyservice voor woonwijken, beheerd door het beursgenoteerde Israëlische bedrijf Alarum Technologies [NASDAQ: ALAR]. De actie volgt ongeveer twee weken nadat KrebsOnSecurity bevindingen van meerdere beveiligingsbedrijven publiceerde die NetNut in verband brachten met het Popa botnet. Dit botnet bestaat uit minstens twee miljoen gecompromitteerde apparaten, veelal zonder of met zeer beperkte toestemming van de slachtoffers.
De homepage van NetNut toonde vandaag een beslagleggingsbanner van de FBI. Op 19 juni publiceerden drie verschillende beveiligingsbedrijven vergelijkbare bevindingen: NetNut is een residentieel proxynetwerk dat het Popa botnet voedt en software verspreidt voor apparaten die vaak in huizen te vinden zijn, zoals smart-tv's en streamingboxen. De software van NetNut transformeert deze systemen in proxydoorvoerpunten die vervolgens worden verhuurd aan derden. Deze derden gebruiken de proxydoorvoerpunten voornamelijk voor het relayeren van misbruikmakend en indringend internetverkeer, waaronder massale content scraping, advertentiefraude en account-overnameactiviteiten.
De beslagleggingskennisgeving van de FBI en de Internal Revenue Service Criminal Investigation (IRS-CI) bedankte Google, Lumen, Shadowserver en andere industriële partners voor hun hulp bij de ontmanteling van de honderden domeinen die aan het Popa botnet zijn gekoppeld. Experts stellen dat dit botnet al lange tijd synoniem is met de residentiële proxy-infrastructuur van NetNut.
In een vandaag gepubliceerde blogpost meldde de Google Threat Intelligence Group (GTIG) dat het proxynetwerk van NetNut veelvuldig wordt doorverkocht en white-labeled door diverse externe proxyaanbieders. De diensten van NetNut zijn zeer gewild bij cybercriminelen die de bron van hun malafide verkeer willen verhullen. De GTIG observeerde in één week in juni 2026 maar liefst 316 afzonderlijke clusters van dreigingsactoren die vermoedelijke NetNut exit-nodes gebruikten, waaronder cybercriminele en spionagegroepen. Volgens GTIG kunnen deze kwaadwillende actoren NetNut gebruiken om hun bron-IP-adres te maskeren bij het benaderen van slachtofferomgevingen, het benaderen van hun eigen infrastructuur en het uitvoeren van wachtwoordspray aanvallen. Bovendien, wanneer een consumentenapparaat een exit-node wordt, passeert onbevoegd netwerkverkeer erdoorheen, wat betekent dat kwaadwillende actoren toegang kunnen krijgen tot andere privéapparaten op hetzelfde thuisnetwerk, waardoor deze worden blootgesteld aan internetdreigingen.
Google heeft Google accounts en -diensten die door NetNut werden gebruikt voor malware command-and-control uitgeschakeld. Het bedrijf deelde technische informatie over de software development kits (SDK's) en backendinfrastructuur van NetNut met platformaanbieders, wetshandhavingsinstanties en onderzoeksbureaus. Ook heeft Google apps uitgeschakeld waarvan bekend is dat ze de verschillende SDK's van NetNut bundelen.
Omer Weiss, juridisch adviseur voor NetNut-moederbedrijf Alarum Technologies, bevestigde dat het bedrijf op de hoogte was van de beslaglegging door de FBI en samenwerkt met de onderzoekers. Alarum neemt de zaak serieus en zal volledig meewerken met de wetshandhaving om ervoor te zorgen dat elk misbruik van zijn infrastructuur grondig wordt onderzocht en de verantwoordelijken ter verantwoording worden geroepen, aldus Weiss in een schriftelijke verklaring.
Benjamin Brundage, oprichter van de proxymonitoringsdienst Synthient, een van de bedrijven die vorige maand bewijs publiceerde over de koppeling tussen het Popa botnet en NetNut/Alarum Technologies, stelde dat de domeinbeslagleggingen zowel het Popa botnet als het NetNut proxynetwerk daarbovenop lijken te hebben verstoord. Brundage voegde eraan toe dat de ondergang van NetNut waarschijnlijk een groot nadeel zal zijn voor de cybercriminele gemeenschap, die al herstellende was van juridische acties van Google eerder dit jaar, waarbij de infrastructuur van NetNut's grootste concurrent, IPIDEA, in beslag werd genomen. Hij verwacht dat deze ontmanteling een grote impact zal hebben, aangezien NetNut aanzienlijke populariteit won na de IPIDEA-ontmanteling en qua dagelijks verkeer, kwaliteit, omvang en prijs per gigabyte op gelijke hoogte stond met IPIDEA.
De ontmanteling van NetNut en het Popa botnet kan nog een ander voordeel hebben, aldus Brundage, namelijk het verminderen van de impact van grote distributed denial-of-service (DDoS) botnets die zijn gebouwd op slecht geconfigureerde residentiële proxyservices. In januari onthulde Synthient hoe cybercriminelen 's werelds grootste DDoS botnet (Kimwolf) hadden gebouwd door via IPIDEA-proxyverbindingen in de lokale netwerken van eigenaren van tv-boxen te tunnelen en andere Android-gebaseerde apparaten achter de firewall van het slachtoffer te infecteren. Hoewel veel van de grotere proxyaanbieders stappen ondernamen om deze activiteit te blokkeren, waren resellers van de grote proxynetwerken veel trager in hun reactie op de dreiging. Brundage verwacht dat de compromittering van al deze tv-boxapparaten vanuit het proxynetwerk een impact zal hebben op de bestaande DDoS-botnets. Google schat dat de acties van vandaag hebben geleid tot een "significante degradatie van het proxynetwerk van NetNut en zijn bedrijfsactiviteiten, waardoor de beschikbare pool van apparaten voor de proxy-operator met miljoenen is verminderd". Het bedrijf waarschuwt echter dat proxynetwerken zichzelf kunnen heropbouwen door andere proxyservices door te verkopen, zoals IPIDEA de afgelopen maanden heeft gedaan.
Bron: FBI | Bron 2: synthient.com | Bron 3: spur.us