2–3 Temmuz 2026'da FBI, ABD İç Gelir Servisi (IRS Criminal Investigation) ve Google Tehdit İstihbarat Grubu, NetNut'u - dünyanın en büyük konut proxy ağlarından birini - ortaklaşa kapattı. "Yasal sağlayıcı" olarak güzel bir vitrin arkasında, 2 milyondan fazla hacklenmiş ev cihazından oluşan Popa botneti gizleniyordu: Akıllı TV'ler, TV kutuları ve Android cihazlar. Bu, altı ay içinde büyük bir piyasa oyuncusunun ikinci kez kamuya açık bir şekilde çökertilmesi ve bu durum, dürüst konut proxy'leri ile suçlu altyapı arasında kesin bir çizgi çekiyor.
Ne oldu?
2 Temmuz'da Google Tehdit İstihbarat Grubu (GTIG), NetNut'un botneti yönetmek için kullandığı Google hesaplarını ve hizmetlerini devre dışı bıraktı. Aynı anda, FBI, IRS Criminal Investigation birimi ile birlikte, ağla ilişkili yüzlerce alan adını ele geçirdi. Ana alan adı netnut.com artık FBI'ın el koyma bildirimine yönlendiriyor ve netnut.io alan adının DNS sunucusu, karakteristik bir şekilde ns1.fbi.seized.gov olarak değiştirildi. İlgili markalar da ele geçirildi - proxyjet.io ve divinetworks.com.
NetNut'un arkasında, halka açık bir İsrail şirketi olan Alarum Technologies Ltd (NASDAQ: ALAR) bulunuyor - yani burada yeraltı bir grup değil, borsa üzerinde işlem gören bir işletme söz konusu. Şirketin avukatı Omer Weiss, "Alarum durumu ciddiye alıyor ve altyapısının herhangi bir kötüye kullanımının titizlikle araştırılması için kolluk kuvvetleriyle tam işbirliği yapacak" dedi.
Google'a göre, koordine edilen eylemler, "NetNut proxy ağında ve işinde önemli bir zarar" verdi ve operatörün erişilebilir cihaz havuzunu milyonlarca azaltarak etkiledi. Bu, klasik bir senaryo: Ocak 2026'da Google benzer bir şekilde rakip IPIDEA ağını çökertmişti.
2 milyon televizyonun botneti nasıl "konut proxy" gibi davrandı?
Popa botneti en az 2020 yılından beri faaliyet gösteriyordu. Cihazlar ağa üç yolla katılıyordu:
- Troyanlaştırılmış uygulamalar. Kullanıcılar, görünüşte zararsız IPTV, akış ve "yararlı" uygulamaları indiriyordu; bu uygulamaların içinde gizli bir proxy-SDK bulunuyordu. Bu şekilde, NetNut ile kesişen büyük bir botnet olan Badbox 2.0 da çalışıyordu.
- Fabrika ön yüklemesi. Bazı bütçe dostu Akıllı TV'ler ve TV kutuları, satın alındığında zaten yerleşik bir proxy kodu ile geliyordu - cihaz, kutusundan çıkar çıkmaz exit-node oluyordu.
- Enfekte olmuş uygulama vitrinleri. Sorunun ölçeği devasa: Araştırmacılara göre, proxy-SDK'lar LG webOS için %42 ve Samsung Tizen için %26'dan fazla uygulama içeriyordu.
Sonuç: "Canlı" bir kullanıcıdan ayırt edilemeyen milyonlarca gerçek ev IP adresi - piyasanın prim ödediği tam olarak bu. Ancak bu televizyonların sahipleri hiçbir şeye razı olmadı ve para kazanmadı.
Bir haftada 316 grup: bunu ne için kullandılar?
GTIG raporundaki en endişe verici rakam: sadece Haziran 2026'nın bir haftasında Google, NetNut düğümleri üzerinden çıkan 316 ayrı tehdit kümesi kaydetti. Bu, siber suçlular ve casuslukla bağlantılı grupların bir karışımıydı. Ana senaryolar:
- Şifre püskürtme. Saldırganlar, çalınan ve tahmin edilen şifreleri deneyerek, giriş denemelerini binlerce farklı konut IP'sine yaydı. Giriş izleme sistemleri, tek bir kaynaktan gelen anormal bir hacmi göremez - "bir IP'den yapılan deneme sayısına göre" klasik koruma körleşir.
- Saldırılarda gizlenme. Konut IP'si, kurbanların tehlikeye atılmış ortamlara ve saldırganların kendi altyapısına erişim sağlarken gerçek konumunu gizliyordu.
- Hesap ele geçirme, reklam dolandırıcılığı ve toplu veri kazıma - "ev" adreslerinin arkasında.
Enfekte olmuş cihazların sahipleri için ayrı bir tehlike: televizyonunuzdan geçen yabancı trafik, sizin IP'nize bağlıdır. Meşru talepleriniz, komşu hizmetler tarafından şüpheli olarak işaretlenebilir ve engellenebilir - saldırgan isterseniz ev ağınızda bir dayanak noktası elde eder.
Bunun tüm proxy pazarına etkisi nedir?
NetNut sadece kendisi satmakla kalmadı, aynı zamanda whitelabel modeli ile çalıştı: birçok popüler "marka" konut proxy'si aslında onun altyapısını kendi isimleri altında yeniden satıyordu. GTIG, piyasa mekanizmasını bir alıntı ile açıkça tanımlıyor: "Operatörün kendi botneti bozulduğunda, proxy operatörleri rakiplerden kapasite satın almaya başlar ve perakendecilere dönüşürler". Yani, başka birinin güzel vitrininde, bilmeden aynı hacklenmiş televizyonları kullanıyor olabilirsiniz.
İkinci sistematik başarısızlık - zayıf KYC. Altyapıya erişim satın almak için gerçek isminizi belirtmeden işlem yapabiliyordunuz, bu da yüzlerce suçlu kümesine kapı açtı. Ve hatta "temiz" iş kısmı da zarar gördü: NetNut'un, sağlayıcılarla doğrudan sözleşmelerle ISP proxy'leri içeren DiviNetworks yönü vardı (bu tam olarak yasal bir modeldir), ancak ağın çökmesiyle her şey tehlikeye girdi.
Dürüst bir kullanıcı için basit bir sonuç: IP adreslerinin kökeni, soyut bir "etik" değil, operasyonel dayanıklılığınızın bir meselesidir. Bir botnet sağlayıcısı bir gecede ele geçirilebilir, adres havuzu yüzlerce suçlunun itibarı ile zehirlenir ve böyle bir ağın kullanılması yasal bir risk oluşturur. Bu nedenle, proxy türleri ve kaynakları arasındaki farkı anlamak önemlidir: konut proxy'leri ve mobil proxy'ler nasıl çalışır ve ne zaman hızlı ve öngörülebilir sunucu proxy'leri yeterlidir, tüm bu konut draması olmadan.
Dürüst bir konut proxy'sini botnetten nasıl ayırt edersiniz?
NetNut'un çökmesi, sağlayıcı seçimi için kontrol listesini yeniden düzenlemek için iyi bir fırsat. Nelere dikkat edilmeli:
- IP'nin şeffaf kökeni. Meşru konut ve ISP adresleri, ya sağlayıcılarla doğrudan sözleşmelerle ya da kullanıcıların gerçek bir tazminat karşılığında açıkça onay vermesiyle elde edilir. Sağlayıcı havuzun kaynağı hakkında belirsizse - bu bir kırmızı bayraktır.
- Hiçbir "kullanılmayan trafik için para". Google, "internet paylaşımı" veya "kullanılmayan bant genişliği" için ödeme teklif eden uygulamalardan kaçınmayı açıkça öneriyor - bu, botnet proxy'lerinin ana enfeksiyon vektörüdür. Eğer proxy ağınız bu tür uygulamalardan besleniyorsa, sorunların bir parçasısınız.
- Gerçek KYC ve kullanım kuralları. Kim olduğunuzu ve neden burada olduğunuzu hiç sormayan bir sağlayıcı, hem size hem de password-spraying grubuna kolayca erişim satabilir.
- Havuzun dayanıklılığı. Yüzlerce saldırıda ifşa olan adresler, dolandırıcılık önleme sistemlerinin kara listelerine hızla girer. Temiz, yönetilen bir havuz, botnetin zaten yanmış olduğu yerlerde daha stabil geçer.
Enfekte olmuş cihazların bakış açısından bu tür gölgeli ağların nasıl çalıştığını daha önce ayrıntılı olarak ele aldık, Smart TV'lerin konut proxy'leri olarak çıkış noktası konulu makalede - NetNut'un hikayesi, FBI emri ile mantıksal bir sona ulaşan tam olarak bu senaryodur.
Pratikte bu neyi değiştiriyor?
Web kazıma, çoklu hesap yönetimi, SMM otomasyonu veya sadece coğrafi engelleri aşan ekipler için ana sinyal şu: konut proxy pazarında acı verici bir "temizlik" geçiyor. Altı ay içinde iki büyük ağ (IPIDEA Ocak'ta, NetNut Temmuz'da) kamuya açık bir şekilde çökertildi ve Google sistematik olarak C2 altyapısını kapatıyor ve kullanıcıları Play Protect aracılığıyla uyarıyor. "Nereden geldiği belli olmayan" ucuz "konutlar" karlı bir anlaşma değil, bir zaman ayarlı bomba: ağ kapatılabilir, havuz zehirlenmiş olabilir ve suçlu trafiği ile bağlantı kurmak itibari ve yasal riskler yaratır.
Proxy'lere bir altyapı olarak yaklaşan ve onları gri bir tüketim maddesi olarak görmeyen kazanır: şeffaf bir sağlayıcı seçer, adreslerin kökenini anlar ve her görev için uygun türü alır - "canlı" IP gereken yerde konut, en hassas alanlar için mobil, hız ve fiyatın önemli olduğu yerlerde sunucu. Pazarın temizlenmesi anlık olarak hoş değil, ancak uzun vadede dürüst çalışmayı daha dayanıklı hale getiriyor - ve televizyonları sahiplerine geri getiriyor.
```