Das FBI, die Steuerfahndung der US-Bundessteuerbehörde (IRS Criminal Investigation) und Google haben NetNut zerschlagen. Dabei handelt es sich um ein Residential-Proxy-Netzwerk, das auf dem Popa-Botnetz aufbaute: einer Ansammlung von mindestens zwei Millionen gekaperten Smart-TVs, Streaming-Boxen und Routern. Diese Geräte leiteten jahrelang unbemerkt und ohne das Wissen ihrer Besitzer den Internetverkehr anderer Nutzer weiter. Die am 2. Juli 2026 bekannt gegebene Abschaltung folgte auf wochenlange Untersuchungen, die NetNut mit Malware in Verbindung brachten. Diese wurde über vorinstallierte Firmware und integrierte Software Development Kits (SDKs) auf günstigen Unterhaltungselektronikgeräten verbreitet.
Was war das NetNut Residential-Proxy-Botnetz?
NetNut wurde von Alarum Technologies, einem börsennotierten israelischen Unternehmen (NASDAQ: ALAR), betrieben und als kommerzieller "Residential Proxy"-Dienst vermarktet. Dieser ermöglichte es zahlenden Kunden, ihren Webverkehr über Millionen echter privater IP-Adressen zu leiten, anstatt über leicht blockierbare Server in Rechenzentren. Sicherheitsforscher von Google, Lumen, Shadowserver, Synthient und Spur fanden heraus, dass ein großer Teil dieses IP-Pools aus dem Popa-Botnetz stammte. Es handelte sich um Geräte, die ohne Zustimmung infiziert und heimlich in Exit-Nodes für jeden verwandelt wurden, der für den Zugang bezahlte.
Wie zwei Millionen Geräte gekapert wurden
Die Ermittler konnten zwei unterschiedliche Infektionswege nachvollziehen. Einige günstige Smart-TV-Boxen wurden bereits ab Werk mit einem in die Firmware integrierten Proxy-Code ausgeliefert. Andere Geräte erhielten diese Funktion durch kostenlose Smartphone- und TV-Apps, die ein verstecktes Software Development Kit enthielten. Laut einer Analyse von Google war dieses zu verschiedenen Zeitpunkten in rund 42 Prozent der untersuchten LG webOS-Apps und in mehr als einem Viertel der Samsung Tizen-Apps zu finden. Einmal installiert, verwandelte der Code einen gewöhnlichen Fernseher oder Router in ein stummes Relais für fremden Datenverkehr, ohne dass der Besitzer des Geräts etwas Ungewöhnliches auf dem Bildschirm bemerken konnte.
Ein beliebtes Werkzeug für Hacker und Spione
Nach Angaben von Google wurden in einer einzigen Woche im Juni 2026 316 verschiedene Bedrohungsgruppen identifiziert, die mutmaßliche NetNut-Exit-Nodes nutzten. Darunter befanden sich sowohl Cyberkriminelle als auch staatlich unterstützte Spionageoperationen. "Password Spraying" war dabei der häufigste Anwendungsfall: Angreifer verteilten ihre Anmeldeversuche auf Tausende verschiedene private IP-Adressen, sodass keine einzelne Adresse jemals eine Ratenlimitierung oder Missbrauchsmeldungen bei dem angegriffenen Dienst auslöste. Die Infrastruktur von NetNut wurde zudem von mehreren kleineren Proxy-Anbietern weiterverkauft und als White-Label-Lösung angeboten. Das bedeutet, dass dieselben gekaperten Geräte letztendlich Dienste antrieben, die den Namen NetNut überhaupt nicht trugen.
Die Zerschlagung
Das FBI und die IRS Criminal Investigation beschlagnahmten Hunderte von Domains, die mit NetNut in Verbindung standen, und ersetzten die Homepage des Unternehmens durch ein Beschlagnahmungsbanner. Google deaktivierte die Google-Konten, die NetNut für die Steuerung der Malware (Command-and-Control) nutzte, aktualisierte Google Play Protect, um Apps mit dem versteckten SDK automatisch zu markieren, und teilte technische Indikatoren mit der breiteren Sicherheits-Community, um die Bereinigung bereits infizierter Geräte zu beschleunigen. Das Ausmaß dieser Reaktion, die zwischen einer Bundesbehörde, einer großen Plattform und unabhängigen Sicherheitsfirmen koordiniert wurde, zeigt deutlich, wie zentral der Missbrauch von Residential Proxys mittlerweile sowohl für die moderne Cyberkriminalität als auch für Spionage geworden ist.
Nicht dasselbe wie ein VPN
Es ist wichtig, genau zu definieren, was NetNut eigentlich war: kein VPN, sondern ein Residential-Proxy-Netzwerk, das aufgebaut wurde, indem die Bandbreite von Geräten monetarisiert wurde, deren Besitzer dieser Vereinbarung nie zugestimmt hatten. Ein legitimer VPN-Dienst macht transparent, wem er gehört, legt seine Protokollierungsrichtlinien und seinen Gerichtsstand offen und leitet ausschließlich den Datenverkehr der Person weiter, die ihn installiert hat, und zwar über Server, die der Anbieter tatsächlich selbst betreibt und für die er verantwortlich ist. Dienste wie NetNut schöpfen stattdessen die Bandbreite fremder Hardware ab und verkaufen den Zugang dazu weiter, wodurch der Gerätebesitzer keinerlei Einblick hat, wer seine Verbindung nutzt oder warum. Dieser Unterschied ist entscheidend für jeden, der ein "kostenloses" Tool zur Traffic-Umleitung gegen einen kostenpflichtigen, geprüften Privatsphäre-Dienst abwägt: Wer bei den Kosten mit einer obskuren Proxy-App spart, riskiert genau das, was einen Smart-TV überhaupt erst zu einem Teil eines Botnetzes macht.
Warum so etwas immer wieder passiert
NetNut ist nicht der erste Betreiber von Residential Proxys, der mit gekaperter Hardware in Verbindung gebracht wird, und laut Forschern wird es auch nicht der letzte sein. Das Geschäftsmodell an sich, im großen Stil für den Zugang zu echten privaten IP-Adressen zu bezahlen, schafft einen ständigen Anreiz, wegzuschauen, wenn es darum geht, wie dieser Zugang beschafft wurde. Die Intervention von Google schaltet zwar einen wichtigen Lieferanten aus, aber die Nachfrage von Spammern, Credential-Stuffing-Banden und Betreibern von Anzeigenbetrug nach schwer blockierbaren privaten IP-Adressen ist nicht verschwunden. Aus diesem Grund erwarten Sicherheitsteams, dass innerhalb weniger Monate neue White-Label-Nachfolger auftauchen werden.