Torna al blog

FBI e Google distruggono NetNut: 2 milioni di Smart TV compromesse nella rete di proxy residenziale

2–3 luglio 2026, l'FBI, l'agenzia delle entrate degli Stati Uniti e il Google Threat Intelligence Group hanno smantellato NetNut, una delle più grandi reti di proxy residenziali, che si è rivelata essere un botnet Popa con 2 milioni di Smart TV e set-top box compromessi. In una settimana, 316 gruppi hanno operato attraverso di essa. Analizziamo come funziona e come distinguere un proxy residenziale onesto da uno criminale.

📅4 luglio 2026
FBI e Google distruggono NetNut: 2 milioni di Smart TV compromesse nella rete di proxy residenziale

Dal 2 al 3 luglio 2026, l'FBI, il Servizio delle Entrate degli Stati Uniti (IRS Criminal Investigation) e il Google Threat Intelligence Group hanno smantellato NetNut, una delle più grandi reti di proxy residenziali al mondo. Sotto l'apparente facciata di un "fornitore legale" si nascondeva il botnet Popa, composto da oltre 2 milioni di dispositivi domestici compromessi: Smart TV, set-top box e gadget Android. Questo è già il secondo smantellamento pubblico di un grande attore del mercato in sei mesi, e segna definitivamente la linea di demarcazione tra un proxy residenziale onesto e un'infrastruttura criminale.

Cosa è successo esattamente

Il 2 luglio, il Google Threat Intelligence Group (GTIG) ha disattivato gli account e i servizi Google che NetNut utilizzava per gestire il botnet (command-and-control). Contemporaneamente, l'FBI, insieme all'IRS Criminal Investigation, ha sequestrato centinaia di domini legati alla rete. Il dominio principale netnut.com ora reindirizza a un avviso dell'FBI riguardante la confisca, mentre il dominio netnut.io ha cambiato il server DNS in ns1.fbi.seized.gov. Sono stati sequestrati anche marchi correlati, come proxyjet.io e divinetworks.com.

Dietro NetNut c'è la società israeliana pubblica Alarum Technologies Ltd (NASDAQ: ALAR), il che significa che non si tratta di un gruppo clandestino, ma di un'azienda quotata in borsa. L'avvocato della società, Omer Weiss, ha dichiarato che "Alarum prende seriamente la situazione e collaborerà pienamente con le forze dell'ordine affinché qualsiasi abuso della sua infrastruttura venga accuratamente indagato".

Secondo Google, le azioni coordinate hanno inflitto "un danno significativo alla rete proxy di NetNut e al suo business, riducendo il pool di dispositivi disponibili per l'operatore di milioni". Questo è uno scenario classico: già a gennaio 2026, Google aveva smantellato in modo simile una rete concorrente, IPIDEA.

Come il botnet di 2 milioni di televisori si spacciava per "proxy residenziali"

Il botnet Popa operava almeno dal 2020. I dispositivi entravano nella rete in tre modi:

  • App trojanizzate. Gli utenti scaricavano app IPTV, di streaming e "utilitarie" che sembravano innocue, all'interno delle quali era nascosto un proxy-SDK. Così operava anche il grande botnet Badbox 2.0, i cui plugin si sovrapponevano a quelli di NetNut.
  • Preinstallazione in fabbrica. Alcuni Smart TV e set-top box economici arrivavano al consumatore già con il codice proxy incorporato: il dispositivo diventava un exit-node subito dopo lo scarto.
  • Vetrine di app compromesse. La portata del problema è enorme: secondo i ricercatori, il proxy-SDK era presente nel 42% delle app per LG webOS e in oltre 26% delle app per Samsung Tizen.

Il risultato: milioni di indirizzi IP domestici reali, indistinguibili da un "utente vivo", esattamente ciò per cui il mercato paga un premio. Solo che i proprietari di queste televisioni non acconsentivano a nulla e non ricevevano alcun compenso.

316 gruppi in una settimana: a cosa venivano utilizzati

Il dato più preoccupante del rapporto GTIG: solo in una settimana di giugno 2026, Google ha registrato 316 cluster di minacce separate che passavano attraverso i nodi di NetNut. Si trattava di una miscela di cybercriminali e gruppi legati allo spionaggio. I principali scenari erano:

  • Password spraying. Gli attaccanti provavano password rubate e generate, distribuendo i tentativi di accesso su migliaia di diversi IP residenziali. I sistemi di monitoraggio delle credenziali non vedono un volume anomalo da una singola fonte: la classica protezione "per numero di tentativi da un IP" diventa cieca.
  • Mascheramento durante gli attacchi. L'IP residenziale nascondeva la reale posizione durante l'accesso a ambienti compromessi delle vittime e all'infrastruttura degli aggressori.
  • Furto di account, frodi pubblicitarie e scraping di massa - sotto la copertura di indirizzi "domestici".

Un pericolo separato per i proprietari di dispositivi compromessi: il traffico di terzi che passa attraverso la tua TV è legato al tuo IP. Le tue richieste legittime possono essere contrassegnate come sospette e bloccate da servizi vicini - e l'attaccante, se lo desidera, ottiene un punto d'appoggio nella tua rete domestica.

Perché questo colpisce l'intero mercato dei proxy

NetNut non vendeva solo direttamente, ma operava anche secondo un modello whitelabel: molti dei "marchi" popolari di proxy residenziali in realtà rivendevano la sua infrastruttura a proprio nome. GTIG descrive chiaramente la meccanica del mercato con una citazione: "Quando il proprio botnet dell'operatore degrada, i fornitori di proxy iniziano ad acquistare capacità dai concorrenti, diventando rivenditori". Quindi, sotto una bella facciata altrui, potresti, senza saperlo, utilizzare le stesse televisioni compromesse.

Un secondo fallimento sistemico è stato il debole KYC. Acquistare accesso all'infrastruttura era possibile senza fornire un nome reale, il che ha aperto la porta a centinaia di cluster criminali. Anche la parte "pulita" del business ha subito danni: NetNut aveva una divisione DiviNetworks con proxy ISP tramite contratti diretti con i fornitori (questo è esattamente un modello legittimo), ma durante lo smantellamento della rete, tutto è stato colpito.

Per l'utente onesto, la conclusione è semplice: l'origine degli indirizzi IP non è un'astratta "etica", ma una questione di resilienza operativa. Un fornitore di botnet può essere smantellato in una notte, il suo pool di indirizzi è avvelenato dalla reputazione di centinaia di malintenzionati, e il semplice fatto di utilizzare tale rete rappresenta un rischio legale. È per questo che è importante comprendere la differenza tra i tipi di proxy e la loro origine: come sono strutturati i proxy residenziali e i proxy mobili, e quando per un compito sono sufficienti i proxy server veloci e prevedibili senza tutta questa drammaticità residenziale.

Come distinguere un proxy residenziale onesto da un botnet

Lo smantellamento di NetNut è un buon motivo per rivedere la checklist di scelta del fornitore. A cosa prestare attenzione:

  1. Origine trasparente degli IP. Gli indirizzi residenziali e ISP legittimi provengono da contratti diretti con i fornitori o tramite un consenso esplicito degli utenti per un compenso reale. Se il fornitore è evasivo riguardo all'origine del pool, è un campanello d'allarme.
  2. Nessun "denaro per il traffico non utilizzato". Google invita esplicitamente a evitare applicazioni che offrono di pagare per "condivisione di internet" o "larghezza di banda non utilizzata", questo è il principale vettore di infezione dei proxy botnet. Se la tua rete proxy si nutre di tali applicazioni, sei parte del problema.
  3. Reale KYC e regole d'uso. Un fornitore che non chiede affatto chi sei e perché, vende facilmente accesso sia a te che a un gruppo di password-spraying.
  4. Resilienza del pool. Gli indirizzi esposti in centinaia di attacchi finiscono rapidamente nelle liste nere dei sistemi antifrode. Un pool pulito e gestito è più stabile dove il botnet è già andato in fiamme.

Abbiamo già esaminato in dettaglio come funzionano queste reti ombra dal lato dei dispositivi compromessi, nell'articolo su Smart TV come exit-node dei proxy residenziali - la storia di NetNut è proprio quello scenario, portato a una conclusione logica con l'ordine dell'FBI.

Cosa cambia nella pratica

Per i team che si occupano di web scraping, multi-accounting, automazione SMM o semplicemente aggirano le geo-blocchi, il segnale principale è questo: il mercato dei proxy residenziali sta attraversando una dolorosa "sanificazione". In sei mesi, due grandi reti sono state pubblicamente smantellate (IPIDEA a gennaio, NetNut a luglio), e Google sta disattivando metodicamente l'infrastruttura C2 e avverte gli utenti tramite Play Protect. I "residenti a buon mercato" che provengono da nessuna parte non sono un affare vantaggioso, ma una mina a tempo: la rete può essere disattivata, il pool è avvelenato e il legame con il traffico criminale crea rischi reputazionali e legali.

Vince chi considera i proxy come un'infrastruttura, non come un consumo grigio: sceglie un fornitore trasparente, comprende l'origine degli indirizzi e sceglie il tipo giusto per ogni compito: residenziale dove è necessario un IP "vivo", mobile per le piattaforme più sensibili, server dove sono importanti velocità e prezzo. La sanificazione del mercato è scomoda nel momento, ma a lungo termine rende il lavoro onesto più sostenibile - e restituisce le televisioni ai loro proprietari.