Zurück zum Blog

FBI und Google zerschlagen NetNut: 2 Millionen gehackte Smart TVs im Residential-Proxy-Netzwerk

2–3 Juli 2026 haben das FBI, der US-Steuerdienst und die Google Threat Intelligence Group NetNut zerschlagen – eines der größten Netzwerke von Residential Proxys, das sich als Botnetz von Popa mit 2 Millionen gehackten Smart TVs und TV-Boxen herausstellte. In einer Woche arbeiteten 316 Gruppen über dieses Netzwerk. Wir analysieren, wie das funktioniert und wie man einen ehrlichen Residential Proxy von einem kriminellen unterscheidet.

📅4. Juli 2026
FBI und Google zerschlagen NetNut: 2 Millionen gehackte Smart TVs im Residential-Proxy-Netzwerk
```html

Am 2. und 3. Juli 2026 haben das FBI, der Internal Revenue Service der USA (IRS Criminal Investigation) und die Google Threat Intelligence Group gemeinsam NetNut liquidiert – eines der größten Netzwerke für Wohnproxies weltweit. Hinter der schönen Fassade eines „legalen Anbieters“ verbarg sich das Botnetz Popa, das aus mehr als 2 Millionen gehackten Haushaltsgeräten bestand: Smart-TVs, TV-Boxen und Android-Geräten. Dies ist bereits die zweite öffentliche Zerschlagung eines großen Marktakteurs innerhalb von sechs Monaten – und sie zieht endgültig eine Linie zwischen ehrlichen Wohnproxies und krimineller Infrastruktur.

Was genau passiert ist

Am 2. Juli hat die Google Threat Intelligence Group (GTIG) die Konten und Dienste von Google deaktiviert, die NetNut zur Verwaltung des Botnetzes (Command-and-Control) verwendet hat. Parallel dazu hat das FBI gemeinsam mit der IRS Criminal Investigation Hunderte von Domains, die mit dem Netzwerk verbunden sind, beschlagnahmt. Die Hauptdomain netnut.com führt nun zu einer Beschlagnahmeankündigung des FBI, während die Domain netnut.io ihren DNS-Server auf das charakteristische ns1.fbi.seized.gov geändert hat. Auch verwandte Marken wurden beschlagnahmt – proxyjet.io und divinetworks.com.

Hinter NetNut steht das öffentliche israelische Unternehmen Alarum Technologies Ltd (NASDAQ: ALAR) – es handelt sich also nicht um eine Untergrundgruppe, sondern um ein börsennotiertes Unternehmen. Der Anwalt des Unternehmens, Omer Weiss, erklärte, dass „Alarum die Situation ernst nimmt und vollumfänglich mit den Strafverfolgungsbehörden zusammenarbeiten wird, um jeglichen Missbrauch ihrer Infrastruktur gründlich zu untersuchen“.

Nach Schätzungen von Google haben die koordinierten Maßnahmen „erheblichen Schaden am Proxy-Netzwerk NetNut und dessen Geschäft verursacht, indem der verfügbare Pool an Geräten des Betreibers um Millionen verringert wurde“. Dies ist ein klassisches Szenario: Bereits im Januar 2026 hat Google ein ähnliches Netzwerk, IPIDEA, zerschlagen.

Wie das Botnetz aus 2 Millionen Fernsehern sich als „Wohnproxies“ ausgab

Das Botnetz Popa war mindestens seit 2020 aktiv. Die Geräte gelangten auf drei Arten in das Netzwerk:

  • Trojanisierte Anwendungen. Nutzer luden scheinbar harmlose IPTV-, Streaming- und „Utility“-Apps herunter, in denen ein verstecktes Proxy-SDK eingebaut war. So funktionierte unter anderem das große Botnetz Badbox 2.0, dessen Plugins sich mit NetNut überschneiden.
  • Werksseitige Vorinstallation. Einige günstige Smart-TVs und TV-Boxen kamen mit bereits integriertem Proxy-Code beim Käufer an – das Gerät wurde sofort nach dem Auspacken zum Exit-Node.
  • Infizierte App-Stores. Das Ausmaß des Problems ist enorm: Laut Forschern enthielten Proxy-SDKs 42 % der Apps für LG webOS und mehr als 26 % der Apps für Samsung Tizen.

Das Ergebnis: Millionen echter Haushalts-IP-Adressen, die nicht von einem „lebenden“ Nutzer zu unterscheiden sind – genau das, wofür der Markt einen Aufpreis zahlt. Nur die Besitzer dieser Fernseher haben nichts zugestimmt und kein Geld erhalten.

316 Gruppierungen innerhalb einer Woche: Wofür wurde das verwendet?

Die alarmierendste Zahl aus dem Bericht der GTIG: Allein in einer Woche im Juni 2026 hat Google 316 einzelne Bedrohungscluster registriert, die über die Knoten von NetNut hinausgingen. Dies war eine Mischung aus Cyberkriminellen und Gruppen, die mit Spionage in Verbindung standen. Die Hauptszenarien:

  • Password Spraying. Angreifer durchsuchten gestohlene und erratene Passwörter und verteilten die Anmeldeversuche über Tausende von verschiedenen Wohn-IP-Adressen. Die Login-Überwachungssysteme erkennen dabei kein anomales Volumen von einer Quelle – der klassische Schutz „nach Anzahl der Versuche von einer IP“ wird blind.
  • Maskierung bei Angriffen. Die Wohn-IP verbarg den tatsächlichen Standort beim Zugriff auf kompromittierte Umgebungen der Opfer und auf die eigene Infrastruktur der Angreifer.
  • Account-Hijacking, Werbetricks und massenhaftes Scraping – unter dem Deckmantel „häuslicher“ Adressen.

Eine besondere Gefahr für die Besitzer infizierter Geräte: Der fremde Traffic, der über Ihren Fernseher läuft, ist an Ihre IP-Adresse gebunden. Ihre legitimen Anfragen können von benachbarten Diensten als verdächtig markiert und blockiert werden – und der Angreifer erhält bei Bedarf einen Ankerpunkt in Ihrem Heimnetzwerk.

Warum das den gesamten Proxy-Markt betrifft

NetNut verkaufte nicht nur selbst, sondern arbeitete auch nach dem Whitelabel-Modell: Viele beliebte „Marken“ von Wohnproxies haben tatsächlich seine Infrastruktur unter ihrem Namen weiterverkauft. Die GTIG beschreibt die Mechanik des Marktes direkt mit dem Zitat: „Wenn das eigene Botnetz des Betreibers degeneriert, beginnen die Proxy-Betreiber, Kapazitäten bei Wettbewerbern zuzukaufen und werden zu Resellern“. Das heißt, hinter einer fremden schönen Fassade könnten Sie, ohne es zu wissen, dieselben gehackten Fernseher nutzen.

Ein weiterer systematischer Fehler – schwaches KYC. Der Zugang zur Infrastruktur konnte ohne Angabe des echten Namens erworben werden, was Hunderten von kriminellen Clustern die Tür öffnete. Und selbst der „saubere“ Teil des Geschäfts wurde getroffen: NetNut hatte eine Abteilung DiviNetworks mit ISP-Proxys durch direkte Verträge mit Anbietern (das ist genau das legale Modell), aber bei der Zerschlagung des Netzwerks wurde alles getroffen.

Für den ehrlichen Nutzer ist die Schlussfolgerung einfach: Die Herkunft von IP-Adressen ist keine abstrakte „Ethik“, sondern eine Frage Ihrer operativen Stabilität. Ein Botnetz-Anbieter kann über Nacht beschlagnahmt werden, sein Pool von Adressen ist mit dem Ruf von Hunderten von Kriminellen belastet, und die bloße Nutzung eines solchen Netzwerks ist ein rechtliches Risiko. Genau deshalb ist es wichtig, den Unterschied zwischen den Arten von Proxys und ihrer Herkunft zu verstehen: wie Wohnproxies und mobile Proxies funktionieren und wann für eine Aufgabe schnelle und vorhersehbare Serverproxies ohne all diese Wohnproblematik ausreichend sind.

Wie man ehrliche Wohnproxies von Botnetzen unterscheidet

Die Zerschlagung von NetNut ist ein guter Anlass, die Checkliste zur Auswahl eines Anbieters neu zu erstellen. Worauf man achten sollte:

  1. Transparente Herkunft der IP. Legitime Wohn- und ISP-Adressen stammen entweder aus direkten Verträgen mit Anbietern oder durch ausdrücklich dokumentierte Zustimmung der Nutzer gegen eine angemessene Entschädigung. Wenn der Anbieter vage über die Herkunft des Pools ist – das ist ein rotes Signal.
  2. Keine „Zahlungen für ungenutzten Traffic“. Google fordert ausdrücklich dazu auf, Anwendungen zu meiden, die anbieten, für „Internetfreigabe“ oder „ungenutzte Bandbreite“ zu bezahlen – das ist der Hauptvektor für die Infektion von Botnetz-Proxys. Wenn Ihr Proxy-Netzwerk solche Anwendungen nutzt, sind Sie Teil des Problems.
  3. Reales KYC und Nutzungsbedingungen. Ein Anbieter, der überhaupt nicht fragt, wer Sie sind und warum, verkauft ebenso leicht Zugang an Sie und an eine Gruppe von Password-Spraying.
  4. Stabilität des Pools. Adressen, die in Hunderten von Angriffen sichtbar wurden, landen schnell auf den schwarzen Listen von Antifraud-Systemen. Ein sauberer, verwalteter Pool hat eine stabilere Durchlaufquote dort, wo das Botnetz bereits verbrannt ist.

Wir haben bereits ausführlich behandelt, wie solche Schattennetzwerke aus der Sicht infizierter Geräte funktionieren, in dem Material über Smart TVs als Exit-Nodes für Wohnproxies – die Geschichte von NetNut ist genau das Szenario, das bis zum logischen Ende mit einem FBI-Beschluss gebracht wurde.

Was sich praktisch ändert

Für Teams, die Web-Scraping, Multi-Accounting, SMM-Automatisierung betreiben oder einfach Geo-Blockaden umgehen, ist das Hauptsignal folgendes: Der Markt für Wohnproxies durchläuft eine schmerzhafte „Sanierung“. Innerhalb von sechs Monaten wurden zwei große Netzwerke öffentlich zerschlagen (IPIDEA im Januar, NetNut im Juli), und Google schaltet systematisch die C2-Infrastruktur ab und warnt Nutzer über Play Protect. Günstige „Wohnproxies aus dem Nichts“ sind kein lukratives Geschäft, sondern eine Zeitbombe: Das Netzwerk kann abgeschaltet werden, der Pool ist vergiftet, und die Verbindung zu kriminellem Traffic schafft Ruf- und rechtliche Risiken.

Gewinnen wird derjenige, der Proxies als Infrastruktur betrachtet und nicht als graue Verbrauchsmaterialien: der einen transparenten Anbieter wählt, die Herkunft der Adressen versteht und für jede Aufgabe den passenden Typ wählt – Wohnproxies dort, wo eine „lebende“ IP benötigt wird, mobile Proxies für die sensibelsten Plattformen, Serverproxies dort, wo Geschwindigkeit und Preis wichtig sind. Die Sanierung des Marktes ist im Moment unangenehm, aber langfristig macht sie ehrliche Arbeit stabiler – und bringt die Fernseher zu ihren Besitzern zurück.

```