文章总结: Google联合FBI等机构对以色列上市公司AlarumTechnologies旗下的NetNut住宅代理网络实施大规模干扰。NetNut通过恶意SDK和出厂预装方式构建了至少200万台智能电视和流媒体盒子组成的Popa僵尸网络。该网络被用于密码喷洒、DDoS攻击和广告欺诈等恶意活动。事件揭示了住宅代理产业链的韧性以及IP信誉检测机制的失效风险。建议企业加强IoT设备供应链安全并采用行为分析进行威胁狩猎。 综合评分: 88 文章分类: 威胁情报,恶意软件,红队,内网渗透,安全运营
百万台电视盒子沦为“隐身代理”:NetNut/Popa僵尸网络的全球基础设施解剖
原创
威胁情报中心 威胁情报中心
奇安信威胁情报中心
2026年7月3日 15:02 北京
在小说阅读器读本章
去阅读
一场针对“合法”代理的跨国围剿
2026年7月2日,Google联合FBI、Lumen等机构,对以色列上市公司Alarum Technologies(NASDAQ: ALAR)旗下的NetNut住宅代理网络实施了大规模干扰。这场行动并非孤立事件——早在2026年1月,Google已对另一家恶意代理网络IPIDEA发起过阻断。NetNut在业界常被称为“Popa”,其核心资产是一个由至少200万台消费级设备(以智能电视、流媒体盒子为主)构成的僵尸网络。Google Threat Intelligence Group(GTIG)评估认为,NetNut的代理网络已被大量白标转售给第三方代理提供商,许多市面上看似“合法”的住宅代理品牌实际上只是NetNut僵尸网络的贴牌产品。
国内读者可能会问:这件事跟我们有关吗?从奇安信威胁情报中心的持续跟踪来看,NetNut/Popa的主要出口节点集中在美国、欧洲和东南亚,未见其对中国境内IP有系统性代理服务输出。但这并不代表我们可以掉以轻心——NetNut的运作模式、TTP演变,以及它暴露出的全球住宅代理产业链韧性,对所有安全防御者都有深刻警示。
如何把两百万台电视变成“隐身跳板”
NetNut构建僵尸网络的核心手法是恶意SDK分发。运营者将NetNut SDK嵌入到看似无害的消费类应用中,这些应用通常以“分享未使用的带宽赚取奖励”为诱饵,在Google Play等官方商店上架。用户安装后,SDK在后台将设备注册为NetNut代理网络的出口节点,而用户完全不知情。
更隐蔽的途径是出厂预装恶意软件。NetNut与部分低端智能电视、流媒体盒子制造商合作(或直接通过供应链攻陷),在设备出厂前就预装NetNut组件。KrebsOnSecurity的公开报道证明了这一点:用户从非正规渠道购买的Android电视盒子,开机联网后即自动成为Popa僵尸网络的一部分。GTIG还发现NetNut为Badbox 2.0僵尸网络提供了插件组件——Badbox 2.0是一个大规模恶意软件家族,同样专门感染低成本家庭设备,两者形成深度整合。
一旦设备成为出口节点,攻击者通过它路由的流量就完全隐藏了真实源IP。更恶劣的是,当一台智能电视成为代理出口后,攻击者可以借助它在同一家庭网络上进行横向移动——访问其他脆弱的IoT设备(如智能摄像头、门锁等),进一步扩大控制面。
谁在利用它?密码喷洒、DDoS与广告欺诈
GTIG在2026年6月的一周内,就观测到316个不同的威胁集群在使用NetNut的出口节点。这些集群包括:
- 网络犯罪团伙:使用NetNut发起密码喷洒攻击(MITRE ATT&CK T1110.003),对大量账户进行批量登录尝试。由于出口IP来自真实住宅ISP,传统基于IP信誉的安全产品很难将这些流量判定为攻击。
- APT间谍组织:利用NetNut隐藏其命令与控制(C2)基础设施的真实位置,以规避政府级追踪。
- DDoS施暴者:Synthient、Spur、Nokia Deepfield等多家安全研究机构公开报告,NetNut出口节点被用于传播Mirai DDoS僵尸网络变种。被感染的设备本身也会被用来发起DDoS攻击。
- 广告欺诈团队:通过NetNut代理模拟真实用户点击,刷取广告收入。
值得单独提及的是Kimwolf僵尸网络——Synthient披露,这是一个号称全球最大的DDoS僵尸网络,通过IPIDEA代理隧道感染电视盒子所有者本地网络内的Android设备构建而成。IPIDEA与NetNut存在明显的技术延续性,说明恶意代理运营者之间存在相互“租借”僵尸网络容量的默契。
归因与商业链:一家上市公司的“灰色生意”
NetNut的母公司Alarum Technologies是一家在纳斯达克上市的正规公司(股票代码ALAR)。NetNut长期以来对外标榜自己为“合法住宅代理服务商”,声称其设备由用户自愿提供。但FBI和Google的调查揭露了真相:NetNut的核心资产——Popa僵尸网络——完全建立在用户不知情或未充分知情的前提下。Alarum的法律顾问Omer Weiss在事件曝光后表示“公司将全力配合执法部门调查”,但此时NetNut.com域名已被FBI扣押,NetNut.io虽仍在线,但其代理网络已遭受重创。
Google评估认为,NetNut不仅有直销模式,还运营着一个庞大的白标转售计划——许多第三方代理品牌实际上只是NetNut的贴牌分销商。这意味着通过攻击NetNut,实际上打击了多条代理供应链。然而,IPIDEA被干扰后的经验表明:当一家代理运营商失去自己的僵尸网络时,他们会立即从竞争对手那里购买代理容量,转身变成转售商。这种弹性让点状打击的效果大打折扣。
技术细节:SDK植入、C2结构与Mirai集成
从技术层面看,NetNut的SDK被设计为跨平台嵌入式组件。它开箱即用,支持Android、Linux等平台,能够:
- 注册设备为HTTP/SOCKS5代理出口节点
- 通过加密隧道连接到NetNut的C2基础设施(Google已确认NetNut使用Google账号和服务进行C2管理,这是Google能禁用其账号的直接原因)
- 动态接收指令,切换代理协议或启动其他恶意负载(如Mirai变种)
GTIG还发现NetNut的僵尸网络插件组件直接集成到Badbox 2.0大规模僵尸网络中。Badbox 2.0本身是一个针对低端安卓设备的恶意软件家族,其供应链通过预装恶意应用感染电视盒子。NetNut组件作为Badbox的“出口模块”,使受感染的设备既能参与DDoS,又能提供代理服务,一机多用。
在2026年6月监测到的一个典型攻击链中:
- 攻击者通过NetNut的住宅代理IP发起密码喷洒攻击
- 如果成功攻陷受害者账户,立即通过代理隧道部署Mirai变种到受害者本地网络上的其他设备
- 这些新感染的设备再次加入NetNut代理网络,形成自我扩张循环
对国内用户的安全启示
尽管NetNut/Popa对中国境内暂无直接影响,但该事件揭示了全球住宅代理基础设施的脆弱性和连锁反应。国内企业安保团队需要重新审视两个关键假设:
- IP信誉不再可靠:攻击者使用住宅代理(来自中国三大运营商的真实IP)时,传统基于IP黑名单的检测机制基本失效。必须结合行为分析、会话异常检测和AI驱动的威胁狩猎。
- IoT设备供应链安全:海外已有大量低端电视盒子被预装恶意软件。国内虽然监管较严,但跨境在线购买的设备仍有风险。建议企业在资产管理中收录所有联网IoT设备,并对敏感端口进行网络隔离。
奇安信威胁情报中心将继续跟踪NetNut及其关联代理网络的恢复动态,以及Alarum Technologies后续的合规整改。住宅代理产业的“打地鼠”游戏远未结束——每一次点状打击都可能催生出更隐蔽、更分散的替代方案。
技术附录
MITRE ATT&CK 技术映射
| 技术编号 | 技术名称 | 关联说明 | | — | — | — | | T1095 | 非应用层协议通信 | NetNut SDK使用自定义加密协议与C2通信 | | T1105 | 远程文件复制 | 通过代理隧道部署Mirai变种到本地设备 | | T1110.003 | 密码喷洒 | 利用NetNut出口节点对账户发起批量登录攻击 | | T1041 | 通过C2通道外泄数据 | 被感染设备上的敏感信息可能被回传 | | T1090.002 | 外部代理(外部代理转发) | 攻击者将NetNut用作跳板隐藏真实IP | | T1210 | 利用网络服务 | 横向移动至同一网络内其他设备 | | T1583.006 | 获取基础设施:Web服务 | NetNut使用Google账号管理C2 | | T1587 | 开发能力:恶意软件 | NetNut运营者自行开发SDK并嵌入应用 | | T1190 | 利用公开应用漏洞 | 低端设备固件漏洞被用于预装恶意软件 | | T1498 | 网络拒绝服务 | 通过Mirai变种发起DDoS | | T1567 | 通过外部站点外泄 | 广告欺诈行为涉及数据回传 |
失陷指标(IOC)
| IOC类型 | 值 | 状态/上下文 | | — | — | — | | 域名 | netnut.io | 仍在线,NetNut运营的代理服务域名 | | 域名 | netnut.com | 已被FBI扣押,原NetNut官方网站 | | 域名 | IPIDEA相关域名 | 2026年1月被Google干扰,具体IOC未公开 | | 文件哈希 | NetNut SDK组件哈希 | Google Play Protect已禁用相关应用,未公开具体哈希 | | 网络行为 | 住宅IP参与密码喷洒或DDoS | 行为IOC,非静态指标 | | 文件名称 | 包含“bandwidth_share”类字样的应用APK | 诱骗用户安装NetNut SDK |
检测规则(YARA伪规则示例)
rule detect_netnut_sdk { meta: description = "Detects NetNut SDK components in Android APK" author = "QAX TI" strings: $sdk_class = "com.netnut.sdk.NetNutProxyService" $sdk_str1 = "netnut.io" $sdk_str2 = "residential_proxy" $sdk_str3 = "exit_node" condition: all of ($sdk*)}
关联威胁实体
| 实体名称 | 类型 | 描述 | | — | — | — | | NetNut | 组织 | 恶意住宅代理网络运营商,母公司Alarum Technologies(NASDAQ:ALAR) | | Popa | 僵尸网络 | NetNut的僵尸网络别名,至少200万台设备 | | IPIDEA | 组织 | 另一个被Google 2026年1月干扰的恶意代理网络 | | Badbox 2.0 | 恶意软件 | 大规模僵尸网络,集成了NetNut插件组件 | | Kimwolf | 恶意软件 | 通过IPIDEA代理隧道构建的DDoS僵尸网络 | | Mirai | 恶意软件 | DDoS僵尸网络变种,通过NetNut感染 | | Alarum Technologies | 组织 | NetNut母公司,以色列上市公司 |
#
参考来源
- https://cloud.google.com/blog/topics/threat-intelligence/netnut-residential-proxy-network-disruption
- https://krebsonsecurity.com/2026/07/fbi-seizes-netnut-proxy-platform-popa-botnet/
- https://uk.pcmag.com/security/205508/google-proxy-service-abusing-tv-streaming-devices-to-host-cybercrime
- https://healsecurity.com/2026/07/fbi-seizes-netnut-proxy-platform-popa-botnet/
- http://imtr.net/article/googles-continued-disruption-of-malicious-residential-proxy-networks-0a3a
- https://blackhatnews.tokyo/2026/07/02/google-continued-disruption-of-malicious-residential-proxy-networks/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:奇安信威胁情报中心 威胁情报中心 威胁情报中心《百万台电视盒子沦为“隐身代理”:NetNut/Popa僵尸网络的全球基础设施解剖》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论