2–3 июля 2026 года ФБР, налоговая служба США (IRS Criminal Investigation) и Google Threat Intelligence Group совместно ликвидировали NetNut — одну из крупнейших в мире сетей резидентных прокси. Под красивой вывеской «легального провайдера» скрывался ботнет Popa из более чем 2 миллионов взломанных домашних устройств: Smart TV, ТВ-приставок и Android-гаджетов. Это уже второй за полгода публичный разгром крупного игрока рынка — и он окончательно проводит черту между честным резидентным прокси и криминальной инфраструктурой.
Что именно случилось
2 июля Google Threat Intelligence Group (GTIG) отключил аккаунты и сервисы Google, которые NetNut использовал для управления ботнетом (command-and-control). Параллельно ФБР совместно с подразделением IRS Criminal Investigation изъяло сотни доменов, связанных с сетью. Главный домен netnut.com теперь ведёт на уведомление ФБР о конфискации, а у домена netnut.io сменили DNS-сервер на характерный ns1.fbi.seized.gov. Под изъятие попали и связанные бренды — proxyjet.io и divinetworks.com.
За NetNut стоит публичная израильская компания Alarum Technologies Ltd (NASDAQ: ALAR) — то есть речь идёт не о подпольной группировке, а о торгуемом на бирже бизнесе. Юрист компании Omer Weiss заявил, что «Alarum серьёзно относится к ситуации и будет в полной мере сотрудничать с правоохранительными органами, чтобы любое злоупотребление её инфраструктурой было тщательно расследовано».
По оценке Google, скоординированные действия нанесли «существенный урон прокси-сети NetNut и её бизнесу, сократив доступный пул устройств оператора на миллионы». Это классический сценарий: ещё в январе 2026 года Google похожим образом разгромил конкурирующую сеть IPIDEA.
Как ботнет из 2 миллионов телевизоров притворялся «резидентными прокси»
Ботнет Popa действовал как минимум с 2020 года. Устройства попадали в сеть тремя путями:
- Троянизированные приложения. Пользователи скачивали безобидные на вид IPTV-, стриминговые и «утилитарные» приложения, внутри которых был скрытый прокси-SDK. Так работал в том числе крупный ботнет Badbox 2.0, чьи плагины пересекались с NetNut.
- Предустановка на заводе. Часть бюджетных Smart TV и ТВ-приставок приезжала покупателю с уже вшитым прокси-кодом — устройство становилось exit-node сразу после распаковки.
- Заражённые витрины приложений. Масштаб проблемы огромен: по данным исследователей, прокси-SDK содержали 42% приложений для LG webOS и более 26% приложений для Samsung Tizen.
Итог: миллионы реальных домашних IP-адресов, которые невозможно отличить от «живого» пользователя, — ровно то, за что рынок платит премию. Только владельцы этих телевизоров ни на что не соглашались и денег не получали.
316 группировок за одну неделю: для чего это использовали
Самая тревожная цифра из отчёта GTIG: только за одну неделю июня 2026 года Google зафиксировал 316 отдельных кластеров угроз, выходивших через узлы NetNut. Это была смесь киберпреступников и групп, связанных со шпионажем. Основные сценарии:
- Password spraying. Атакующие перебирали украденные и подобранные пароли, размазывая попытки входа по тысячам разных резидентных IP. Системы мониторинга логинов при этом не видят аномального объёма ни с одного источника — классическая защита «по количеству попыток с одного IP» слепнет.
- Маскировка при атаках. Резидентный IP скрывал реальное местоположение при доступе к скомпрометированным средам жертв и к собственной инфраструктуре злоумышленников.
- Захват аккаунтов, рекламный фрод и массовый скрапинг — под прикрытием «домашних» адресов.
Отдельная опасность для владельцев заражённых устройств: чужой трафик, проходящий через ваш телевизор, привязан к вашему IP. Ваши легитимные запросы соседние сервисы могут помечать как подозрительные и блокировать — а атакующий при желании получает точку опоры в вашей домашней сети.
Почему это бьёт по всему рынку прокси
NetNut продавал не только сам, но и работал по whitelabel-модели: множество популярных «брендов» резидентных прокси на самом деле перепродавали его инфраструктуру под своим именем. GTIG прямо описывает механику рынка цитатой: «Когда собственный ботнет оператора деградирует, прокси-операторы начинают докупать ёмкость у конкурентов, превращаясь в реселлеров». То есть под чужой красивой вывеской вы могли, сами того не зная, пользоваться теми же взломанными телевизорами.
Второй системный провал — слабый KYC. Купить доступ к инфраструктуре можно было без указания настоящего имени, что и открыло дверь сотням криминальных кластеров. И даже «чистая» часть бизнеса пострадала: у NetNut было направление DiviNetworks с ISP-прокси по прямым договорам с провайдерами (это как раз легитимная модель), но при разгроме сети под удар попало всё.
Для честного пользователя вывод простой: происхождение IP-адресов — это не абстрактная «этика», а вопрос вашей операционной устойчивости. Ботнет-провайдера могут изъять за одну ночь, его пул адресов отравлен репутацией сотен злоумышленников, а сам факт использования такой сети — юридический риск. Именно поэтому важно понимать разницу между типами прокси и их источником: как устроены резидентные прокси и мобильные прокси, и когда для задачи достаточно быстрых и предсказуемых серверных прокси без всей этой резидентной драмы.
Как отличить честный резидентный прокси от ботнета
Разгром NetNut — хороший повод пересобрать чек-лист выбора провайдера. На что смотреть:
- Прозрачное происхождение IP. Легитимные резидентные и ISP-адреса берутся либо по прямым договорам с провайдерами, либо через явно оформленное согласие пользователей за реальную компенсацию. Если провайдер уклончив насчёт источника пула — это красный флаг.
- Никаких «денег за неиспользованный трафик». Google прямым текстом призывает избегать приложений, которые предлагают платить за «раздачу интернета» или «неиспользованную полосу», — это главный вектор заражения ботнет-прокси. Если ваша прокси-сеть питается такими приложениями, вы часть проблемы.
- Реальный KYC и правила использования. Провайдер, который вообще не спрашивает, кто вы и зачем, одинаково легко продаёт доступ и вам, и группировке password-spraying.
- Устойчивость пула. Адреса, засвеченные в сотнях атак, быстро попадают в чёрные списки антифрод-систем. Чистый, управляемый пул стабильнее проходит там, где ботнет уже сгорел.
Мы уже подробно разбирали, как устроены такие теневые сети со стороны заражённых устройств, в материале про Smart TV как exit-node резидентных прокси — история NetNut это ровно тот сценарий, доведённый до логического финала с ордером ФБР.
Что это меняет на практике
Для команд, которые ведут веб-скрапинг, мультиаккаунтинг, SMM-автоматизацию или просто обходят гео-блокировки, главный сигнал такой: рынок резидентных прокси проходит болезненную «санацию». За полгода публично разгромлены две крупные сети (IPIDEA в январе, NetNut в июле), а Google методично отключает C2-инфраструктуру и предупреждает пользователей через Play Protect. Дешёвые «резиденты из ниоткуда» — это не выгодная сделка, а мина замедленного действия: сеть могут отключить, пул отравлен, а связь с криминальным трафиком создаёт репутационные и юридические риски.
Выигрывает тот, кто относится к прокси как к инфраструктуре, а не как к серому расходнику: выбирает прозрачного провайдера, понимает происхождение адресов и берёт под каждую задачу подходящий тип — резидентный там, где нужен «живой» IP, мобильный для самых чувствительных площадок, серверный там, где важны скорость и цена. Санация рынка неприятна в моменте, но в долгую она делает честную работу устойчивее — а телевизоры возвращает их владельцам.
