Back to Blog

एफबीआई और गूगल ने NetNut को नष्ट किया: 2 मिलियन हैक किए गए स्मार्ट टीवी रेजिडेंशियल प्रॉक्सी नेटवर्क में

2–3 जुलाई 2026 को एफबीआई, अमेरिका की कर सेवा और गूगल थ्रेट इंटेलिजेंस ग्रुप ने NetNut को नष्ट कर दिया - जो कि निवासियों के प्रॉक्सी नेटवर्क में से एक है, जो 2 मिलियन हैक किए गए स्मार्ट टीवी और टीवी सेट-टॉप बॉक्स का बॉटनेट था। एक सप्ताह में इसके माध्यम से 316 समूहों ने काम किया। हम समझते हैं कि यह कैसे काम करता है और कैसे एक ईमानदार निवासी प्रॉक्सी को आपराधिक से अलग किया जाए।

📅July 4, 2026
एफबीआई और गूगल ने NetNut को नष्ट किया: 2 मिलियन हैक किए गए स्मार्ट टीवी रेजिडेंशियल प्रॉक्सी नेटवर्क में
```html

2–3 जुलाई 2026 को एफबीआई, अमेरिका की कर सेवा (IRS Criminal Investigation) और Google Threat Intelligence Group ने मिलकर NetNut को समाप्त कर दिया — जो दुनिया के सबसे बड़े रेजिडेंट प्रॉक्सी नेटवर्क में से एक है। "कानूनी प्रदाता" के खूबसूरत लेबल के पीछे 2 मिलियन से अधिक हैक किए गए घरेलू उपकरणों का Popa बॉटनेट छिपा था: स्मार्ट टीवी, टीवी सेट-टॉप बॉक्स और एंड्रॉइड गैजेट्स। यह बाजार के एक बड़े खिलाड़ी का सार्वजनिक रूप से दूसरा ध्वस्त होना है — और यह ईमानदार रेजिडेंट प्रॉक्सी और आपराधिक बुनियादी ढांचे के बीच एक स्पष्ट रेखा खींचता है।

क्या हुआ

2 जुलाई को Google Threat Intelligence Group (GTIG) ने उन Google खातों और सेवाओं को बंद कर दिया, जिनका NetNut ने बॉटनेट (command-and-control) के प्रबंधन के लिए उपयोग किया था। साथ ही, एफबीआई ने IRS Criminal Investigation के विभाग के साथ मिलकर नेटवर्क से संबंधित सैकड़ों डोमेन को जब्त किया। मुख्य डोमेन netnut.com अब एफबीआई द्वारा जब्ती के नोटिस पर ले जाता है, जबकि डोमेन netnut.io का DNS सर्वर ns1.fbi.seized.gov पर बदल दिया गया है। जब्ती में संबंधित ब्रांड भी शामिल थे — proxyjet.io और divinetworks.com.

NetNut के पीछे एक सार्वजनिक इज़राइली कंपनी Alarum Technologies Ltd (NASDAQ: ALAR) है — यानी यह कोई अंडरग्राउंड समूह नहीं है, बल्कि एक स्टॉक एक्सचेंज पर कारोबार करने वाला व्यवसाय है। कंपनी के वकील ओमर वीस ने कहा कि "Alarum स्थिति को गंभीरता से लेती है और कानून प्रवर्तन एजेंसियों के साथ पूरी तरह से सहयोग करेगी, ताकि उसकी बुनियादी ढांचे के किसी भी दुरुपयोग की पूरी तरह से जांच की जा सके।"

Google के अनुसार, समन्वित कार्रवाई ने "NetNut प्रॉक्सी नेटवर्क और उसके व्यवसाय को महत्वपूर्ण नुकसान पहुंचाया, ऑपरेटर के उपलब्ध उपकरणों के पूल को लाखों में कम कर दिया।" यह एक क्लासिक परिदृश्य है: जनवरी 2026 में Google ने इसी तरह से प्रतिस्पर्धी नेटवर्क IPIDEA को ध्वस्त किया था।

कैसे 2 मिलियन टीवी का बॉटनेट "रेजिडेंट प्रॉक्सी" के रूप में कार्य करता था

Popa बॉटनेट कम से कम 2020 से सक्रिय था। उपकरणों ने तीन तरीकों से नेटवर्क में प्रवेश किया:

  • ट्रोजनाइज्ड एप्लिकेशन। उपयोगकर्ता बिना हानिकारक दिखने वाले IPTV, स्ट्रीमिंग और "उपयोगिता" एप्लिकेशन डाउनलोड करते थे, जिनमें एक छिपा हुआ प्रॉक्सी-SDK होता था। इसी तरह से बड़ा बॉटनेट Badbox 2.0 काम करता था, जिसके प्लगइन्स NetNut के साथ ओवरलैप करते थे।
  • कारखाने में पूर्व-स्थापना। कुछ बजट स्मार्ट टीवी और टीवी सेट-टॉप बॉक्स खरीदार को पहले से प्रॉक्सी कोड के साथ आते थे — डिवाइस अनपैक करने के तुरंत बाद exit-node बन जाता था।
  • संक्रमित एप्लिकेशन स्टोर। समस्या का पैमाना विशाल है: शोधकर्ताओं के अनुसार, प्रॉक्सी-SDK में LG webOS के लिए 42% एप्लिकेशन और Samsung Tizen के लिए 26% से अधिक एप्लिकेशन शामिल थे।

नतीजा: लाखों वास्तविक घरेलू IP पते, जिन्हें "जीवित" उपयोगकर्ता से अलग करना असंभव है — यही वह चीज है जिसके लिए बाजार प्रीमियम का भुगतान करता है। केवल इन टीवी के मालिकों ने किसी भी चीज़ के लिए सहमति नहीं दी और पैसे नहीं मिले।

एक सप्ताह में 316 समूह: इसका उपयोग किस लिए किया गया

GTIG की रिपोर्ट से सबसे चिंताजनक संख्या: जून 2026 के केवल एक सप्ताह में, Google ने 316 अलग-अलग खतरे के क्लस्टर को दर्ज किया, जो NetNut के नोड्स के माध्यम से निकले। यह साइबर अपराधियों और जासूसी से जुड़े समूहों का मिश्रण था। मुख्य परिदृश्य:

  • Password spraying. हमलावर चोरी किए गए और अनुमानित पासवर्ड को आजमाते थे, हजारों विभिन्न रेजिडेंट IP पर लॉगिन प्रयासों को फैलाते थे। लॉगिन की निगरानी करने वाली प्रणालियाँ इस दौरान किसी एक स्रोत से असामान्य मात्रा नहीं देखती हैं — "एक IP से प्रयासों की संख्या" के लिए क्लासिक सुरक्षा अंधी हो जाती है।
  • हमलों के दौरान छिपाव। रेजिडेंट IP वास्तविक स्थान को छिपाता था जब वे पीड़ितों के समझौता किए गए वातावरण और अपराधियों की अपनी बुनियादी ढांचे तक पहुंचते थे।
  • खाते का कब्जा, विज्ञापन धोखाधड़ी और बड़े पैमाने पर स्क्रैपिंग — "घरेलू" पते के कवर के तहत।

संक्रमित उपकरणों के मालिकों के लिए एक अलग खतरा: आपके टीवी के माध्यम से गुजरने वाला विदेशी ट्रैफ़िक आपके IP से जुड़ा होता है। आपकी वैध अनुरोधों को पड़ोसी सेवाएँ संदिग्ध के रूप में चिह्नित कर सकती हैं और ब्लॉक कर सकती हैं — और हमलावर की इच्छा पर, आपके घरेलू नेटवर्क में एक स्थायी बिंदु मिल जाता है।

यह पूरे प्रॉक्सी बाजार को क्यों प्रभावित करता है

NetNut ने न केवल खुद को बेचा, बल्कि whitelabel मॉडल पर भी काम किया: कई लोकप्रिय "ब्रांड" रेजिडेंट प्रॉक्सी वास्तव में उसके बुनियादी ढांचे को अपने नाम के तहत पुनर्विक्रय कर रहे थे। GTIG सीधे बाजार की मैकेनिक्स का वर्णन करता है: “जब ऑपरेटर का अपना बॉटनेट अवनति करता है, प्रॉक्सी ऑपरेटर प्रतिस्पर्धियों से क्षमता खरीदना शुरू करते हैं, खुद को रिसेलर्स में बदलते हैं”। यानी किसी और के खूबसूरत लेबल के तहत, आप अनजाने में वही हैक किए गए टीवी का उपयोग कर सकते थे।

दूसरी प्रणालीगत विफलता — कमजोर KYC। बुनियादी ढांचे तक पहुंच खरीदना बिना असली नाम बताए संभव था, जिसने सैकड़ों आपराधिक क्लस्टरों के लिए दरवाजा खोल दिया। और यहां तक कि "स्वच्छ" व्यवसाय का हिस्सा प्रभावित हुआ: NetNut का DiviNetworks नामक एक विभाग था जिसमें ISP-प्रॉक्सी सीधे प्रदाताओं के साथ अनुबंध के तहत थे (यह वास्तव में एक वैध मॉडल है), लेकिन नेटवर्क के ध्वस्त होने पर सब कुछ खतरे में पड़ गया।

ईमानदार उपयोगकर्ता के लिए सीधा निष्कर्ष: IP पतों की उत्पत्ति कोई अमूर्त "नैतिकता" नहीं है, बल्कि आपकी ऑपरेशनल स्थिरता का सवाल है। बॉटनेट प्रदाता एक रात में जब्त किए जा सकते हैं, उनके पते का पूल सैकड़ों अपराधियों की प्रतिष्ठा से दूषित होता है, और ऐसी नेटवर्क का उपयोग करना कानूनी जोखिम है। इसलिए यह समझना महत्वपूर्ण है कि प्रॉक्सी के प्रकार और उनके स्रोत के बीच अंतर क्या है: रेजिडेंट प्रॉक्सी और मोबाइल प्रॉक्सी कैसे काम करते हैं, और कब किसी कार्य के लिए तेज और पूर्वानुमानित सर्वर प्रॉक्सी पर्याप्त हैं, बिना इस रेजिडेंट ड्रामा के।

ईमानदार रेजिडेंट प्रॉक्सी को बॉटनेट से कैसे अलग करें

NetNut का ध्वस्त होना प्रदाता के चयन के लिए चेकलिस्ट को फिर से बनाने का एक अच्छा कारण है। किस पर ध्यान देना चाहिए:

  1. IP की पारदर्शी उत्पत्ति। वैध रेजिडेंट और ISP पते सीधे प्रदाताओं के साथ अनुबंधों के माध्यम से या वास्तविक मुआवजे के लिए उपयोगकर्ताओं की स्पष्ट सहमति के माध्यम से प्राप्त होते हैं। यदि प्रदाता पूल के स्रोत के बारे में अस्पष्ट है — यह एक लाल झंडा है।
  2. कोई "अप्रयुक्त ट्रैफ़िक के लिए पैसे" नहीं। Google स्पष्ट रूप से उन एप्लिकेशनों से बचने की सलाह देता है जो "इंटरनेट साझा करने" या "अप्रयुक्त बैंडविड्थ" के लिए भुगतान करने की पेशकश करते हैं — यह बॉटनेट-प्रॉक्सी के संक्रमण का मुख्य वेक्टर है। यदि आपका प्रॉक्सी नेटवर्क ऐसे एप्लिकेशनों से पोषित होता है, तो आप समस्या का हिस्सा हैं।
  3. वास्तविक KYC और उपयोग के नियम। प्रदाता, जो बिल्कुल नहीं पूछता कि आप कौन हैं और क्यों, आसानी से आपको और password-spraying समूह को पहुंच बेचता है।
  4. पूल की स्थिरता। पते, जो सैकड़ों हमलों में उजागर होते हैं, जल्दी से एंटी-फ्रॉड सिस्टम की काली सूचियों में पहुंच जाते हैं। एक साफ, प्रबंधित पूल वहां अधिक स्थिरता से गुजरता है जहां बॉटनेट पहले ही जल चुका है।

हमने पहले ही विस्तार से बताया है कि ऐसे छायादार नेटवर्क संक्रमित उपकरणों की दृष्टि से कैसे काम करते हैं, स्मार्ट टीवी को रेजिडेंट प्रॉक्सी के रूप में exit-node के बारे में सामग्री में — NetNut की कहानी ठीक उसी परिदृश्य है, जिसे एफबीआई के वारंट के साथ तार्किक अंत तक लाया गया है।

व्यवहार में यह क्या बदलता है

उन टीमों के लिए जो वेब स्क्रैपिंग, मल्टी-एकाउंटिंग, SMM ऑटोमेशन या बस भू-प्रतिबंधों को обход करती हैं, मुख्य संकेत यह है: रेजिडेंट प्रॉक्सी का बाजार एक दर्दनाक "स्वच्छता" से गुजर रहा है। छह महीने में सार्वजनिक रूप से दो बड़े नेटवर्क (IPIDEA जनवरी में, NetNut जुलाई में) ध्वस्त किए गए हैं, और Google व्यवस्थित रूप से C2 बुनियादी ढांचे को बंद कर रहा है और उपयोगकर्ताओं को Play Protect के माध्यम से चेतावनी दे रहा है। सस्ते "नहीं से रेजिडेंट" एक लाभदायक सौदा नहीं हैं, बल्कि एक धीमी गति से चलने वाली बम हैं: नेटवर्क को बंद किया जा सकता है, पूल दूषित है, और आपराधिक ट्रैफ़िक के साथ संबंध प्रतिष्ठा और कानूनी जोखिम पैदा करता है।

जो लोग प्रॉक्सी को बुनियादी ढांचे के रूप में मानते हैं, न कि ग्रे उपभोग के रूप में, वे जीतते हैं: एक पारदर्शी प्रदाता का चयन करते हैं, पतों की उत्पत्ति को समझते हैं और प्रत्येक कार्य के लिए उपयुक्त प्रकार लेते हैं — रेजिडेंट जहां "जीवित" IP की आवश्यकता होती है, मोबाइल सबसे संवेदनशील प्लेटफार्मों के लिए, सर्वर जहां गति और कीमत महत्वपूर्ण हैं। बाजार की स्वच्छता क्षण में अप्रिय है, लेकिन लंबे समय में यह ईमानदार काम को अधिक स्थिर बनाती है — और टीवी को उनके मालिकों को वापस लाती है।

```