L'FBI, la divisione Criminal Investigation dell'IRS e Google hanno smantellato NetNut, una rete di proxy residenziali basata sulla botnet Popa: un insieme di almeno due milioni di smart TV, box per lo streaming e router compromessi, che per anni hanno inoltrato segretamente il traffico internet di altre persone all'insaputa dei legittimi proprietari. L'operazione, annunciata il 2 luglio 2026, fa seguito a settimane di indagini che hanno collegato NetNut a malware distribuiti tramite firmware preinstallati e kit di sviluppo software inclusi in dispositivi di fascia bassa.
Cos'era la botnet proxy residenziale NetNut
NetNut era gestita da Alarum Technologies, una società israeliana quotata in borsa (NASDAQ: ALAR), e veniva commercializzata come servizio di "proxy residenziale", consentendo ai clienti paganti di instradare il traffico web attraverso milioni di indirizzi IP domestici reali invece che tramite server di data center, più facilmente bloccabili. I ricercatori di sicurezza di Google, Lumen, Shadowserver, Synthient e Spur hanno scoperto che gran parte di quel bacino di IP proveniva dalla botnet Popa: dispositivi infettati senza alcun consenso e trasformati silenziosamente in nodi di uscita per chiunque fosse disposto a pagare per accedervi.
Come sono stati compromessi due milioni di dispositivi
Gli investigatori hanno tracciato due percorsi di infezione separati. Alcuni box per smart TV economici venivano spediti dalla fabbrica con il codice proxy già integrato nel firmware. Altri acquisivano la stessa capacità tramite app gratuite per dispositivi mobili e TV che includevano un kit di sviluppo software nascosto, individuato dalle analisi di Google in circa il 42 percento delle app LG webOS analizzate e in oltre un quarto delle app Samsung Tizen in diversi momenti. Una volta installato, il codice trasformava un normale televisore o un router in un ripetitore silenzioso per il traffico di terzi, senza che il proprietario del dispositivo notasse nulla di insolito sullo schermo.
Lo strumento preferito da hacker e spie
Google afferma di aver tracciato 316 cluster di minacce distinti che utilizzavano sospetti nodi di uscita NetNut in una sola settimana a giugno del 2026, spaziando tra gruppi di criminalità informatica e operazioni di spionaggio legate ad apparati statali. Il password spraying era il caso d'uso più comune: gli aggressori distribuivano i tentativi di accesso su migliaia di indirizzi IP residenziali diversi, in modo che nessuno di essi innescasse mai limitazioni o avvisi di abuso sul servizio bersaglio. L'infrastruttura di NetNut veniva inoltre rivenduta sotto falso nome da numerosi fornitori di proxy più piccoli; ciò significa che gli stessi dispositivi compromessi finivano per alimentare servizi che non hanno mai portato il nome di NetNut.
L'operazione di smantellamento
L'FBI e la divisione Criminal Investigation dell'IRS hanno sequestrato centinaia di domini legati a NetNut e sostituito la homepage dell'azienda con un avviso di sequestro. Google ha disabilitato gli account Google che NetNut utilizzava per il comando e controllo dei malware, ha aggiornato Google Play Protect per segnalare automaticamente le app che contenevano l'SDK nascosto e ha condiviso indicatori tecnici con l'intera comunità della sicurezza per accelerare la bonifica sui dispositivi già infettati. La portata della risposta, coordinata tra un'agenzia federale, un'importante piattaforma e aziende di sicurezza indipendenti, riflette quanto l'abuso dei proxy residenziali sia diventato centrale sia per la criminalità informatica moderna che per lo spionaggio.
Non è come una VPN
Vale la pena essere precisi su cosa fosse effettivamente NetNut: non una VPN, ma una rete di proxy residenziali costruita monetizzando la larghezza di banda di dispositivi i cui proprietari non avevano mai accettato tale accordo. Un servizio VPN legittimo rende noto chi ne è il proprietario, divulga la propria politica di registrazione e la giurisdizione, e instrada solo il traffico della persona che ha scelto di installarlo, attraverso server che il fornitore gestisce realmente e di cui è responsabile. Servizi come NetNut, invece, raccolgono larghezza di banda dall'hardware di estranei e ne rivendono l'accesso, lasciando il proprietario del dispositivo senza alcuna visibilità su chi stia utilizzando la sua connessione o per quale motivo. Questa distinzione è fondamentale per chiunque stia valutando uno strumento di routing del traffico "gratuito" rispetto a un servizio per la privacy a pagamento e verificato: risparmiare sui costi con un'oscura app proxy è esattamente il modo in cui una smart TV finisce per far parte di una botnet.
Perché continua a succedere
NetNut non è il primo operatore di proxy residenziali collegato a hardware compromesso e i ricercatori affermano che non sarà l'ultimo. Il modello di business stesso, che paga per l'accesso a veri indirizzi IP domestici su larga scala, crea un incentivo costante a chiudere un occhio su come tale accesso sia stato ottenuto. L'intervento di Google rimuove un fornitore importante, ma la domanda di IP residenziali difficili da bloccare da parte di spammer, gruppi dediti al credential stuffing e operatori di frodi pubblicitarie non è svanita; per questo motivo, i team di sicurezza si aspettano che entro pochi mesi compaiano dei successori sotto falso nome.