في الفترة من 2 إلى 3 يوليو 2026، قامت مكتب التحقيقات الفيدرالي، وإدارة الضرائب الأمريكية (IRS Criminal Investigation) ومجموعة Google Threat Intelligence Group بإغلاق NetNut - واحدة من أكبر شبكات البروكسي السكنية في العالم. تحت واجهة "مزود قانوني" الجميلة، كان هناك بوت نت Popa مكون من أكثر من 2 مليون جهاز منزلي مخترق: تلفزيونات ذكية، أجهزة بث، وأجهزة أندرويد. هذه هي المرة الثانية خلال ستة أشهر التي يتم فيها القضاء علنًا على لاعب كبير في السوق - وهي تحدد بوضوح الفارق بين البروكسي السكني الشرعي والبنية التحتية الإجرامية.
ما الذي حدث بالضبط
في 2 يوليو، قامت مجموعة Google Threat Intelligence Group (GTIG) بإيقاف حسابات وخدمات Google التي استخدمها NetNut لإدارة البوت نت (التحكم والقيادة). بالتوازي، قام مكتب التحقيقات الفيدرالي بالتعاون مع قسم IRS Criminal Investigation بمصادرة مئات النطاقات المرتبطة بالشبكة. النطاق الرئيسي netnut.com الآن يوجه إلى إشعار مكتب التحقيقات الفيدرالي عن المصادرة، بينما تم تغيير خادم DNS للنطاق netnut.io إلى ns1.fbi.seized.gov. كما تم مصادرة العلامات التجارية المرتبطة - proxyjet.io وdivinetworks.com.
تقف وراء NetNut شركة إسرائيلية عامة Alarum Technologies Ltd (NASDAQ: ALAR) - مما يعني أن الأمر لا يتعلق بجماعة سرية، بل بعمل تجاري يتم تداوله في البورصة. صرح محامي الشركة عمر فايس بأن "Alarum تأخذ الوضع على محمل الجد وستتعاون بالكامل مع السلطات لضمان التحقيق الدقيق في أي إساءة لاستخدام بنيتها التحتية".
وفقًا لتقديرات Google، فإن الإجراءات المنسقة قد تسببت في "أضرار كبيرة لشبكة البروكسي NetNut وأعمالها، مما قلل من مجموعة الأجهزة المتاحة للمشغل بملايين". هذا هو السيناريو الكلاسيكي: في يناير 2026، قامت Google بتفكيك شبكة IPIDEA المنافسة بنفس الطريقة.
كيف كان بوت نت مكون من 2 مليون تلفاز يتظاهر بأنه "بروكسي سكني"
كان بوت نت Popa يعمل على الأقل منذ عام 2020. كانت الأجهزة تدخل الشبكة من ثلاثة طرق:
- تطبيقات مصابة. كان المستخدمون يقومون بتنزيل تطبيقات IPTV، وتطبيقات البث، و"تطبيقات مفيدة" تبدو غير ضارة، والتي كانت تحتوي على بروكسي-SDK مخفي. كان من بين هذه التطبيقات بوت نت كبير Badbox 2.0، الذي تداخلت مكوناته مع NetNut.
- التثبيت في المصنع. كانت بعض أجهزة التلفاز الذكية الرخيصة وأجهزة البث تأتي إلى المشتري مع كود البروكسي مدمج مسبقًا - كانت الأجهزة تصبح exit-node مباشرة بعد فك التغليف.
- واجهات التطبيقات المصابة. حجم المشكلة هائل: وفقًا للباحثين، كانت بروكسي-SDK تحتوي على 42% من التطبيقات لنظام LG webOS وأكثر من 26% من التطبيقات لنظام Samsung Tizen.
النتيجة: ملايين من عناوين IP المنزلية الحقيقية، التي لا يمكن تمييزها عن "المستخدم الحقيقي" - وهذا هو بالضبط ما يدفع السوق مقابله. لكن أصحاب هذه التلفزيونات لم يوافقوا على أي شيء ولم يحصلوا على أي أموال.
316 جماعة خلال أسبوع واحد: لماذا تم استخدام ذلك
أكثر الأرقام إثارة للقلق من تقرير GTIG: فقط خلال أسبوع واحد من يونيو 2026، سجلت Google 316 مجموعة تهديدات منفصلة تمر عبر نقاط NetNut. كانت هذه مزيجًا من المجرمين الإلكترونيين والجماعات المرتبطة بالتجسس. السيناريوهات الرئيسية:
- رش كلمة المرور. كان المهاجمون يقومون بتجربة كلمات المرور المسروقة والمخترقة، موزعين محاولات الدخول عبر آلاف من عناوين IP السكنية المختلفة. لم تكن أنظمة مراقبة تسجيل الدخول ترى حجمًا غير عادي من أي مصدر واحد - حماية "عدد المحاولات من IP واحد" الكلاسيكية تصبح عمياء.
- التخفي أثناء الهجمات. كان IP السكني يخفي الموقع الحقيقي عند الوصول إلى البيئات المخترقة للضحايا والبنية التحتية الخاصة بالمهاجمين.
- اختراق الحسابات، الاحتيال الإعلاني، والسكربينغ الجماعي - تحت غطاء العناوين "المنزلية".
خطر منفصل لأصحاب الأجهزة المصابة: حركة المرور الغريبة التي تمر عبر تلفازك مرتبطة بعنوان IP الخاص بك. قد تقوم الخدمات المجاورة بتمييز طلباتك الشرعية على أنها مشبوهة وفرض حظر عليها - بينما يحصل المهاجم عند الرغبة على نقطة انطلاق في شبكتك المنزلية.
لماذا يؤثر ذلك على سوق البروكسي بالكامل
كانت NetNut تبيع نفسها فقط، بل كانت تعمل أيضًا وفقًا لنموذج whitelabel: العديد من "العلامات التجارية" الشهيرة للبروكسي السكني كانت في الواقع تعيد بيع بنيتها التحتية تحت اسمها. تصف GTIG مباشرة آلية السوق باقتباس: "عندما يتدهور بوت نت المشغل، يبدأ مشغلو البروكسي في شراء السعة من المنافسين، مما يتحولون إلى بائعين" . بمعنى آخر، تحت واجهة جميلة لشخص آخر، كنت قد تستخدم، دون أن تعرف، نفس التلفزيونات المخترقة.
الفشل النظامي الثاني - KYC الضعيف. كان من الممكن شراء الوصول إلى البنية التحتية دون تقديم الاسم الحقيقي، مما فتح الباب لمئات من مجموعات الجريمة. حتى الجزء "النظيف" من الأعمال تأثر: كانت لدى NetNut قسم DiviNetworks مع بروكسي ISP بموجب عقود مباشرة مع المزودين (وهذا هو النموذج الشرعي)، ولكن عند تفكيك الشبكة، تأثرت كل شيء.
بالنسبة للمستخدم الشريف، فإن الاستنتاج بسيط: أصل عناوين IP ليس مجرد "أخلاقيات" مجردة، بل هو مسألة استدامتك التشغيلية. يمكن أن يتم مصادرة مزود البوت نت في ليلة واحدة، ومجموعة عناوينه ملوثة بسمعة مئات المجرمين، ووجودك في مثل هذه الشبكة هو خطر قانوني. لهذا السبب من المهم فهم الفرق بين أنواع البروكسي ومصدرها: كيف تعمل البروكسي السكنية والبروكسي المحمولة، ومتى تكون المهمة كافية باستخدام بروكسي الخادم السريعة والمتوقعة بدون كل هذه الدراما السكنية.
كيف تميز بين البروكسي السكني الشريف والبوت نت
تدمير NetNut هو فرصة جيدة لإعادة بناء قائمة التحقق لاختيار المزود. ما الذي يجب النظر إليه:
- أصل IP الشفاف. يتم الحصول على عناوين البروكسي السكنية والـ ISP الشرعية إما من خلال عقود مباشرة مع المزودين، أو من خلال موافقة واضحة من المستخدمين مقابل تعويض حقيقي. إذا كان المزود غير واضح بشأن مصدر المجموعة - فهذا علم أحمر.
- لا "أموال مقابل حركة المرور غير المستخدمة". تحث Google بوضوح على تجنب التطبيقات التي تعرض الدفع مقابل "مشاركة الإنترنت" أو "النطاق غير المستخدم" - هذا هو الاتجاه الرئيسي لعدوى بروكسي البوت نت. إذا كانت شبكة البروكسي الخاصة بك تعتمد على مثل هذه التطبيقات، فأنت جزء من المشكلة.
- KYC حقيقي وقواعد الاستخدام. المزود الذي لا يسأل من أنت ولماذا، يبيع الوصول بسهولة لك ولجماعة رش كلمات المرور.
- استدامة المجموعة. العناوين التي تم الكشف عنها في مئات الهجمات تدخل بسرعة إلى القوائم السوداء لأنظمة مكافحة الاحتيال. المجموعة النظيفة والمدارة تمر بشكل أكثر استقرارًا حيث احترق البوت نت بالفعل.
لقد قمنا بالفعل بمناقشة كيفية عمل مثل هذه الشبكات الظلية من وجهة نظر الأجهزة المصابة، في المادة حول تلفاز ذكي كبوابة للبروكسي السكنية - قصة NetNut هي بالضبط هذا السيناريو، الذي تم توصيله إلى النهاية المنطقية مع أمر مكتب التحقيقات الفيدرالي.
ما الذي يغيره ذلك في الممارسة العملية
بالنسبة للفرق التي تقوم بعمليات سكراب الويب، وإدارة الحسابات المتعددة، وأتمتة SMM أو ببساطة تتجاوز الحجب الجغرافي، فإن الإشارة الرئيسية هي: سوق البروكسي السكنية يمر بعملية "تنظيف" مؤلمة. خلال ستة أشهر، تم تفكيك شبكتين كبيرتين علنًا (IPIDEA في يناير، NetNut في يوليو)، بينما تقوم Google بشكل منهجي بإيقاف بنية C2 التحتية وتحذر المستخدمين عبر Play Protect. "السكان الرخيصون من العدم" ليسوا صفقة مربحة، بل قنبلة موقوتة: يمكن إيقاف الشبكة، المجموعة ملوثة، والاتصال بحركة المرور الإجرامية يخلق مخاطر سمعة وقانونية.
يفوز من يتعامل مع البروكسي كالبنية التحتية، وليس كمنتج رمادي: يختار مزودًا شفافًا، ويفهم أصل العناوين، ويأخذ النوع المناسب لكل مهمة - سكني حيث يحتاج إلى IP "حي"، محمول لأكثر المنصات حساسية، وخادم حيث تكون السرعة والسعر مهمين. إن تنظيف السوق غير مريح في اللحظة، ولكنه على المدى الطويل يجعل العمل الشريف أكثر استدامة - ويعيد التلفزيونات إلى أصحابها.
