
Google ha degradado significativamente NetNut, una de las redes más grandes que convierte los dispositivos domésticos en retransmisores de alquiler para el tráfico de otras personas.
El Threat Intelligence Group (GTIG) de Google, en colaboración con el FBI, Lumen y otros, anunció esta semana que ha reducido en millones el conjunto de dispositivos disponibles en sus redes.
Google ha identificado a NetNut, también rastreada como Popa, como una red que abarca dispositivos domésticos en todo el mundo, incluidos televisores inteligentes y cajas de transmisión, y GTIG estima que la red alberga al menos 2 millones de dispositivos.
Si uno de estos dispositivos está en su casa, extraños pueden dirigir su tráfico a través de su conexión a Internet y su dirección se verá comprometida sin importar lo que hagan con ella.
estructura
Las redes de proxy residenciales venden acceso a su dirección de Internet residencial real. Los atacantes pagan para enrutar su tráfico a través de la conexión, de modo que parezca una navegación doméstica normal en lugar del tráfico del centro de datos, que las herramientas de seguridad tienden a bloquear.
Para crear ese grupo, los operadores deben ejecutar código en sus dispositivos domésticos. Algunos dispositivos se envían preinstalados en hardware económico y disponible en el mercado. Si alguien instala una aplicación gratuita que la oculta, algunas personas la aceptarán. Una vez en funcionamiento, el dispositivo se convierte en un «nodo de salida», una puerta a través de la cual pasa el tráfico de otras personas.
Según Google, los nodos de salida llevan tráfico externo a su red doméstica, lo que les da a los atacantes un punto de apoyo para llegar a otros dispositivos en ese nodo. Algunos de estos aparatos domésticos también han sido arrastrados a grandes botnets de ataque como Mirai y Badbox 2.0.
En una semana de junio, GTIG contó 316 grupos de amenazas diferentes, incluidos grupos de cibercrimen y espionaje, que utilizaban nodos de salida sospechosos de NetNut para ocultar su ubicación real y realizar ataques para adivinar contraseñas.

la empresa detrás
A diferencia de la mayoría de las botnets proxy, NetNut se remonta a una empresa pública. En junio, investigadores de Qurium, Synthient, Nokia Deepfield y Spur vincularon a Popa con NetNut.
NetNut es un proveedor de proxy propiedad de Alarum Technologies (NASDAQ: ALAR), una empresa israelí que cotiza en bolsa. Synthient dijo que en pruebas controladas, el tráfico que envió al portal comercial de NetNut se envió a través de dispositivos registrados con Popa.
Synthient lo planteó como evidencia de una ruta de tráfico, pero no de lo que NetNut sabía o pretendía. La propia inteligencia de Google está de acuerdo, trata a NetNut y Popa como la misma red y dice que los informes públicos son consistentes con la visión de Google sobre cómo NetNut construye botnets. Hacker News cubrió los hallazgos de los investigadores cuando fueron publicados.

Alrum rechaza la etiqueta de «botnet». La compañía califica el estudio como «afirmaciones evidentemente inexactas y deducciones erróneas en lugar de hechos verificados», y dice que su software es para compartir ancho de banda acordado que no pone en riesgo los dispositivos que opera.
Las pruebas de los investigadores complican esa defensa. Synthient informó que ninguna de las más de 20 aplicaciones que examinó realmente solicitó el consentimiento de los usuarios.

Por qué un derribo no es suficiente
Desconectar NetNut es engorroso por diseño. NetNut ejecuta un programa de revendedores que permite a otras empresas vender la red con su marca. Google dice que tiene una gran confianza en que muchas marcas de proxy populares y aparentemente separadas en realidad están revendiendo el mismo grupo de NetNut.
Como resultado, una sola eliminación puede afectar a muchas marcas que parecen independientes pero no lo son.
Esta es también la razón por la que Google llama a esto una degradación en lugar de una muerte. Acciones anteriores contra redes IPIDEA similares han demostrado que estas redes parecen ser resistentes, dijo la compañía. Los operadores comienzan a comprar capacidad a sus competidores, convirtiéndose ellos mismos en revendedores. Según Google, un daño real y duradero significa atacar a varios proveedores conectados al mismo tiempo.
En enero, Google y sus socios destruyeron IPIDEA, con sede en China, que en su apogeo era la red más grande de su tipo. En julio de 2025, Google demandó a los operadores de Badbox 2.0, una botnet de dispositivos Android TV secuestrados cuyos componentes se superponían con los de Popa. En cada ocasión, la red se mostró testaruda.
Qué deberían hacer los consumidores
La señal de advertencia más obvia es una aplicación que ofrece pagar por «ancho de banda no utilizado» o «compartir Internet». Esa es una de las principales formas en que crecen estas redes.
Más allá de eso:
Utilice la tienda de aplicaciones oficial y compruebe qué permisos solicita su aplicación VPN o proxy. Mantenga activadas las protecciones integradas como Google Play Protect. Compre cajas de transmisión y hardware de TV inteligente de fabricantes conocidos en lugar de marcas desconocidas.
La demanda de estas direcciones particulares persiste incluso si la red se cae. Simplemente se mueve. La siguiente señal que deben observar los defensores y las plataformas es si el tráfico vinculado a NetNut reaparece bajo la marca del revendedor.
Source link
