Kembali ke blog

FBI dan Google Hancurkan NetNut: 2 Juta Smart TV Terhack dalam Jaringan Proxy Residensial

2–3 Juli 2026, FBI, layanan pajak AS, dan Google Threat Intelligence Group menghancurkan NetNut — salah satu jaringan proxy residensial terbesar, yang ternyata adalah botnet Popa dari 2 juta Smart TV dan set-top box yang diretas. Selama seminggu, 316 kelompok beroperasi melalui jaringan ini. Mari kita bahas bagaimana ini bekerja dan bagaimana membedakan proxy residensial yang jujur dari yang kriminal.

📅4 Juli 2026
FBI dan Google Hancurkan NetNut: 2 Juta Smart TV Terhack dalam Jaringan Proxy Residensial
```html

2–3 Juli 2026, FBI, Layanan Pajak AS (IRS Criminal Investigation) dan Google Threat Intelligence Group secara bersama-sama membongkar NetNut — salah satu jaringan proxy residensial terbesar di dunia. Di balik label yang menarik sebagai "penyedia legal" tersembunyi botnet Popa yang terdiri dari lebih dari 2 juta perangkat rumah yang diretas: Smart TV, set-top box, dan gadget Android. Ini adalah kedua kalinya dalam enam bulan publik mengungkapkan pembongkaran besar terhadap pemain utama di pasar — dan ini secara definitif membedakan antara proxy residensial yang sah dan infrastruktur kriminal.

Apa yang sebenarnya terjadi

Pada 2 Juli, Google Threat Intelligence Group (GTIG) menonaktifkan akun dan layanan Google yang digunakan NetNut untuk mengelola botnet (command-and-control). Secara bersamaan, FBI bersama dengan unit IRS Criminal Investigation menyita ratusan domain yang terkait dengan jaringan tersebut. Domain utama netnut.com kini mengarah ke pemberitahuan penyitaan dari FBI, sementara domain netnut.io telah mengubah server DNS menjadi ns1.fbi.seized.gov. Merek terkait juga disita — proxyjet.io dan divinetworks.com.

Di balik NetNut terdapat perusahaan publik Israel Alarum Technologies Ltd (NASDAQ: ALAR) — yang berarti ini bukan kelompok bawah tanah, melainkan bisnis yang diperdagangkan di bursa. Pengacara perusahaan Omer Weiss menyatakan bahwa "Alarum sangat serius menghadapi situasi ini dan akan sepenuhnya bekerja sama dengan pihak berwenang untuk memastikan setiap penyalahgunaan infrastruktur mereka diselidiki secara menyeluruh".

Menurut penilaian Google, tindakan terkoordinasi tersebut menyebabkan "kerugian signifikan terhadap jaringan proxy NetNut dan bisnisnya, mengurangi jumlah perangkat yang tersedia untuk operator hingga jutaan". Ini adalah skenario klasik: pada Januari 2026, Google juga membongkar jaringan bersaing IPIDEA dengan cara yang sama.

Bagaimana botnet dari 2 juta televisi berpura-pura menjadi "proxy residensial"

Botnet Popa telah beroperasi setidaknya sejak 2020. Perangkat masuk ke dalam jaringan melalui tiga cara:

  • Aplikasi yang terinfeksi Trojan. Pengguna mengunduh aplikasi IPTV, streaming, dan "utilitas" yang tampak tidak berbahaya, di mana terdapat proxy-SDK yang tersembunyi. Ini termasuk botnet besar Badbox 2.0, yang plugin-nya beririsan dengan NetNut.
  • Pra-instalasi di pabrik. Beberapa Smart TV dan set-top box murah datang kepada pembeli dengan kode proxy yang sudah terpasang — perangkat tersebut menjadi exit-node segera setelah dibongkar.
  • Etalase aplikasi yang terinfeksi. Skala masalahnya sangat besar: menurut para peneliti, proxy-SDK terdapat dalam 42% aplikasi untuk LG webOS dan lebih dari 26% aplikasi untuk Samsung Tizen.

Hasilnya: jutaan alamat IP rumah yang nyata, yang tidak dapat dibedakan dari pengguna "hidup" — tepat apa yang dibayar pasar dengan premi. Namun, pemilik televisi ini tidak setuju dengan apa pun dan tidak menerima uang.

316 kelompok dalam satu minggu: untuk apa ini digunakan

Angka yang paling mengkhawatirkan dari laporan GTIG: hanya dalam satu minggu Juni 2026, Google mencatat 316 kluster ancaman terpisah yang muncul melalui node NetNut. Ini adalah campuran antara penjahat siber dan kelompok yang terkait dengan spionase. Skenario utama:

  • Password spraying. Penyerang mencoba berbagai kata sandi yang dicuri dan ditebak, menyebarkan upaya masuk ke ribuan IP residensial yang berbeda. Sistem pemantauan login tidak melihat volume anomali dari satu sumber — perlindungan klasik "berdasarkan jumlah percobaan dari satu IP" menjadi buta.
  • Penyamaran saat serangan. IP residensial menyembunyikan lokasi sebenarnya saat mengakses lingkungan yang dikompromikan dari korban dan infrastruktur penyerang itu sendiri.
  • Pengambilalihan akun, penipuan iklan, dan pengambilan data massal — di bawah perlindungan alamat "rumah".

Bahaya tersendiri bagi pemilik perangkat yang terinfeksi: lalu lintas asing yang melewati televisi Anda terikat pada IP Anda. Permintaan sah Anda dapat ditandai sebagai mencurigakan dan diblokir oleh layanan tetangga — sementara penyerang dapat dengan mudah mendapatkan titik dukungan di jaringan rumah Anda.

Mengapa ini berdampak pada seluruh pasar proxy

NetNut tidak hanya menjual layanan sendiri, tetapi juga beroperasi dengan model whitelabel: banyak "merek" proxy residensial yang populer sebenarnya menjual kembali infrastruktur mereka dengan nama mereka sendiri. GTIG secara langsung menggambarkan mekanisme pasar dengan kutipan: "Ketika botnet operator sendiri mengalami penurunan, operator proxy mulai membeli kapasitas dari pesaing, berubah menjadi reseller". Jadi di balik label menarik orang lain, Anda mungkin tanpa sadar menggunakan televisi yang sama yang diretas.

Kegagalan sistem kedua — KYC yang lemah. Membeli akses ke infrastruktur dapat dilakukan tanpa menyebutkan nama asli, yang membuka pintu bagi ratusan kluster kriminal. Bahkan bagian bisnis yang "bersih" juga terkena dampak: NetNut memiliki arah DiviNetworks dengan proxy ISP berdasarkan kontrak langsung dengan penyedia (ini adalah model yang sah), tetapi saat jaringan dibongkar, semuanya terkena dampak.

Bagi pengguna yang jujur, kesimpulannya sederhana: asal usul alamat IP bukanlah "etika" abstrak, tetapi masalah ketahanan operasional Anda. Penyedia botnet dapat disita dalam semalam, kumpulan alamatnya tercemar oleh reputasi ratusan penjahat, dan fakta menggunakan jaringan semacam itu adalah risiko hukum. Itulah mengapa penting untuk memahami perbedaan antara jenis proxy dan sumbernya: bagaimana proxy residensial dan proxy mobile bekerja, dan kapan untuk tugas tertentu cukup dengan proxy server yang cepat dan dapat diprediksi tanpa semua drama residensial ini.

Bagaimana membedakan proxy residensial yang jujur dari botnet

Pembongkaran NetNut adalah alasan yang baik untuk menyusun kembali daftar periksa pemilihan penyedia. Apa yang harus diperhatikan:

  1. Asal IP yang transparan. Alamat residensial dan ISP yang sah diperoleh baik melalui kontrak langsung dengan penyedia, atau melalui persetujuan yang jelas dari pengguna dengan kompensasi yang nyata. Jika penyedia tidak jelas tentang sumber kumpulan — itu adalah bendera merah.
  2. Tidak ada "uang untuk lalu lintas yang tidak terpakai". Google secara langsung menyarankan untuk menghindari aplikasi yang menawarkan pembayaran untuk "berbagi internet" atau "jalur yang tidak terpakai" — ini adalah vektor utama infeksi proxy botnet. Jika jaringan proxy Anda bergantung pada aplikasi semacam itu, Anda adalah bagian dari masalah.
  3. KYC yang nyata dan aturan penggunaan. Penyedia yang sama sekali tidak menanyakan siapa Anda dan untuk apa, dengan mudah menjual akses baik kepada Anda maupun kepada kelompok password-spraying.
  4. Ketahanan kumpulan. Alamat yang terlibat dalam ratusan serangan cepat masuk ke daftar hitam sistem anti-fraud. Kumpulan yang bersih dan terkelola lebih stabil di tempat di mana botnet sudah terbakar.

Kami telah membahas secara mendetail bagaimana jaringan gelap ini beroperasi dari sisi perangkat yang terinfeksi, dalam materi tentang Smart TV sebagai exit-node proxy residensial — kisah NetNut adalah skenario yang sama, dibawa ke akhir logis dengan surat perintah FBI.

Apa yang berubah dalam praktik

Bagi tim yang melakukan web scraping, multi-accounting, otomatisasi SMM, atau hanya menghindari geo-blocking, sinyal utama adalah: pasar proxy residensial mengalami "sanitasi" yang menyakitkan. Dalam enam bulan, dua jaringan besar telah dibongkar secara publik (IPIDEA pada Januari, NetNut pada Juli), dan Google secara sistematis menonaktifkan infrastruktur C2 dan memperingatkan pengguna melalui Play Protect. "Residen murah dari mana saja" bukanlah kesepakatan yang menguntungkan, tetapi bom waktu: jaringan dapat dimatikan, kumpulan tercemar, dan keterkaitan dengan lalu lintas kriminal menciptakan risiko reputasi dan hukum.

Yang menang adalah mereka yang memperlakukan proxy sebagai infrastruktur, bukan sebagai barang konsumsi abu-abu: memilih penyedia yang transparan, memahami asal alamat, dan memilih jenis yang sesuai untuk setiap tugas — residensial di mana diperlukan IP "hidup", mobile untuk platform yang paling sensitif, server di mana kecepatan dan harga penting. Sanitasi pasar tidak menyenangkan saat ini, tetapi dalam jangka panjang membuat pekerjaan yang jujur lebih tahan — dan mengembalikan televisi kepada pemiliknya.

```