Vào ngày 2–3 tháng 7 năm 2026, FBI, Cơ quan thuế Hoa Kỳ (IRS Criminal Investigation) và Google Threat Intelligence Group đã phối hợp để triệt phá NetNut — một trong những mạng lưới proxy dân cư lớn nhất thế giới. Dưới vẻ bề ngoài của một "nhà cung cấp hợp pháp", ẩn chứa là botnet Popa với hơn 2 triệu thiết bị gia đình bị xâm nhập: Smart TV, đầu thu truyền hình và các thiết bị Android. Đây là lần thứ hai trong vòng sáu tháng, một tay chơi lớn trên thị trường bị công khai triệt phá — và nó hoàn toàn phân định ranh giới giữa proxy dân cư hợp pháp và cơ sở hạ tầng tội phạm.
Điều gì đã xảy ra
Vào ngày 2 tháng 7, Google Threat Intelligence Group (GTIG) đã vô hiệu hóa tài khoản và dịch vụ Google mà NetNut sử dụng để quản lý botnet (command-and-control). Đồng thời, FBI cùng với đơn vị IRS Criminal Investigation đã thu giữ hàng trăm tên miền liên quan đến mạng lưới này. Tên miền chính netnut.com hiện dẫn đến thông báo của FBI về việc tịch thu, trong khi tên miền netnut.io đã thay đổi máy chủ DNS thành ns1.fbi.seized.gov. Các thương hiệu liên quan cũng bị tịch thu — proxyjet.io và divinetworks.com.
NetNut thuộc về một công ty công khai của Israel Alarum Technologies Ltd (NASDAQ: ALAR) — tức là không phải một nhóm ngầm, mà là một doanh nghiệp có thể giao dịch trên sàn chứng khoán. Luật sư của công ty, Omer Weiss, cho biết rằng "Alarum rất nghiêm túc về tình hình và sẽ hợp tác đầy đủ với các cơ quan thực thi pháp luật để bất kỳ sự lạm dụng nào đối với cơ sở hạ tầng của họ sẽ được điều tra kỹ lưỡng".
Theo đánh giá của Google, các hành động phối hợp đã gây ra "thiệt hại đáng kể cho mạng lưới proxy NetNut và doanh nghiệp của họ, giảm số lượng thiết bị có sẵn của nhà điều hành xuống hàng triệu". Đây là một kịch bản điển hình: vào tháng 1 năm 2026, Google đã triệt phá một mạng lưới cạnh tranh tương tự, IPIDEA.
Cách mà botnet 2 triệu chiếc TV giả mạo thành "proxy dân cư"
Botnet Popa đã hoạt động ít nhất từ năm 2020. Các thiết bị đã bị đưa vào mạng lưới theo ba cách:
- Các ứng dụng bị trojan hóa. Người dùng tải xuống các ứng dụng IPTV, phát trực tuyến và "tiện ích" có vẻ vô hại, bên trong đó có một proxy-SDK ẩn giấu. Một trong những botnet lớn là Badbox 2.0, với các plugin giao thoa với NetNut.
- Cài đặt từ nhà máy. Một số Smart TV và đầu thu truyền hình giá rẻ đến tay người tiêu dùng với mã proxy đã được cài sẵn — thiết bị trở thành exit-node ngay sau khi được mở hộp.
- Các cửa hàng ứng dụng bị nhiễm. Quy mô của vấn đề rất lớn: theo dữ liệu từ các nhà nghiên cứu, proxy-SDK có mặt trong 42% ứng dụng cho LG webOS và hơn 26% ứng dụng cho Samsung Tizen.
Kết quả: hàng triệu địa chỉ IP gia đình thực tế, không thể phân biệt với người dùng "sống" — chính xác là điều mà thị trường sẵn sàng trả giá cao. Chỉ có điều, các chủ sở hữu những chiếc TV này không đồng ý gì và không nhận được tiền.
316 băng nhóm trong một tuần: họ đã sử dụng điều này để làm gì
Số liệu đáng lo ngại nhất từ báo cáo của GTIG: chỉ trong một tuần tháng 6 năm 2026, Google đã ghi nhận 316 cụm mối đe dọa riêng biệt xuất phát từ các nút của NetNut. Đây là sự pha trộn giữa tội phạm mạng và các nhóm liên quan đến gián điệp. Các kịch bản chính bao gồm:
- Phát tán mật khẩu. Kẻ tấn công đã thử nghiệm các mật khẩu bị đánh cắp và được chọn, phân tán các nỗ lực đăng nhập qua hàng ngàn địa chỉ IP dân cư khác nhau. Hệ thống giám sát đăng nhập không thấy được khối lượng bất thường từ bất kỳ nguồn nào — bảo vệ cổ điển "theo số lần thử từ một IP" trở nên mù quáng.
- Ngụy trang trong các cuộc tấn công. IP dân cư đã che giấu vị trí thực tế khi truy cập vào các môi trường bị xâm phạm của nạn nhân và vào cơ sở hạ tầng của kẻ tấn công.
- Chiếm đoạt tài khoản, gian lận quảng cáo và thu thập dữ liệu hàng loạt — dưới vỏ bọc của các địa chỉ "gia đình".
Nguy cơ riêng cho các chủ sở hữu thiết bị bị nhiễm: lưu lượng truy cập từ bên ngoài đi qua TV của bạn gắn liền với IP của bạn. Các yêu cầu hợp pháp của bạn có thể bị các dịch vụ lân cận đánh dấu là nghi ngờ và bị chặn — trong khi kẻ tấn công có thể tận dụng điểm tựa trong mạng gia đình của bạn.
Tại sao điều này ảnh hưởng đến toàn bộ thị trường proxy
NetNut không chỉ tự mình bán mà còn hoạt động theo mô hình whitelabel: nhiều "thương hiệu" proxy dân cư nổi tiếng thực chất đã bán lại cơ sở hạ tầng của nó dưới tên của họ. GTIG mô tả trực tiếp cơ chế của thị trường bằng một câu trích dẫn: "Khi botnet của nhà điều hành bị suy giảm, các nhà điều hành proxy bắt đầu mua thêm dung lượng từ các đối thủ, biến mình thành người bán lại". Điều này có nghĩa là dưới một bảng hiệu đẹp của người khác, bạn có thể, mà không hay biết, đang sử dụng những chiếc TV bị xâm nhập tương tự.
Thất bại hệ thống thứ hai — KYC yếu. Việc mua quyền truy cập vào cơ sở hạ tầng có thể thực hiện mà không cần chỉ định tên thật, điều này đã mở cửa cho hàng trăm cụm tội phạm. Ngay cả phần "sạch" của doanh nghiệp cũng bị ảnh hưởng: NetNut có một hướng đi DiviNetworks với proxy ISP theo hợp đồng trực tiếp với các nhà cung cấp (đây chính là mô hình hợp pháp), nhưng khi mạng lưới bị triệt phá, mọi thứ đều bị ảnh hưởng.
Đối với người dùng trung thực, thông điệp đơn giản: nguồn gốc của địa chỉ IP không phải là "đạo đức" trừu tượng, mà là một vấn đề về khả năng hoạt động của bạn. Nhà cung cấp botnet có thể bị tịch thu trong một đêm, bể địa chỉ của họ bị ô nhiễm bởi danh tiếng của hàng trăm kẻ xấu, và thực tế sử dụng một mạng như vậy là rủi ro pháp lý. Chính vì vậy, điều quan trọng là hiểu sự khác biệt giữa các loại proxy và nguồn gốc của chúng: cách mà proxy dân cư và proxy di động hoạt động, và khi nào cho nhiệm vụ chỉ cần các proxy máy chủ nhanh và dự đoán mà không có tất cả những bi kịch dân cư này.
Làm thế nào để phân biệt proxy dân cư hợp pháp với botnet
Sự triệt phá NetNut là một lý do tốt để tái cấu trúc danh sách kiểm tra lựa chọn nhà cung cấp. Những điều cần chú ý:
- Nguồn gốc IP minh bạch. Các địa chỉ dân cư và ISP hợp pháp được lấy từ các hợp đồng trực tiếp với các nhà cung cấp hoặc thông qua sự đồng ý rõ ràng của người dùng với sự bồi thường thực tế. Nếu nhà cung cấp không rõ ràng về nguồn gốc của bể — đó là một dấu hiệu đỏ.
- Không có "tiền cho lưu lượng không sử dụng". Google thẳng thắn khuyên tránh các ứng dụng đề nghị trả tiền cho "chia sẻ internet" hoặc "băng thông không sử dụng" — đây là hướng chính của việc nhiễm botnet-proxy. Nếu mạng proxy của bạn phụ thuộc vào những ứng dụng như vậy, bạn là một phần của vấn đề.
- KYC thực sự và quy tắc sử dụng. Nhà cung cấp không hỏi bạn là ai và tại sao, cũng dễ dàng bán quyền truy cập cho cả bạn và một băng nhóm password-spraying.
- Độ bền của bể. Các địa chỉ đã bị lộ trong hàng trăm cuộc tấn công nhanh chóng bị đưa vào danh sách đen của các hệ thống chống gian lận. Một bể sạch, được quản lý ổn định hơn ở những nơi mà botnet đã bị tiêu diệt.
Chúng tôi đã phân tích chi tiết cách mà các mạng lưới ngầm hoạt động từ góc độ của các thiết bị bị nhiễm, trong tài liệu về Smart TV như exit-node của proxy dân cư — câu chuyện về NetNut chính là kịch bản đó, được đưa đến một kết thúc hợp lý với lệnh của FBI.
Điều này thay đổi gì trong thực tế
Đối với các đội ngũ thực hiện web scraping, đa tài khoản, tự động hóa SMM hoặc chỉ đơn giản là vượt qua các khối địa lý, tín hiệu chính là: thị trường proxy dân cư đang trải qua một "sự thanh lọc" đau đớn. Trong vòng sáu tháng, hai mạng lưới lớn đã bị triệt phá công khai (IPIDEA vào tháng 1, NetNut vào tháng 7), và Google đang có hệ thống vô hiệu hóa cơ sở hạ tầng C2 và cảnh báo người dùng qua Play Protect. Những "proxy dân cư từ hư không" rẻ tiền không phải là một giao dịch có lợi, mà là một quả bom hẹn giờ: mạng lưới có thể bị tắt, bể bị ô nhiễm, và mối liên hệ với lưu lượng tội phạm tạo ra rủi ro về danh tiếng và pháp lý.
Người chiến thắng là người coi proxy như một cơ sở hạ tầng, chứ không phải như một nguyên liệu xám: chọn nhà cung cấp minh bạch, hiểu nguồn gốc của các địa chỉ và chọn loại phù hợp cho mỗi nhiệm vụ — proxy dân cư ở nơi cần IP "sống", proxy di động cho các nền tảng nhạy cảm nhất, proxy máy chủ ở nơi tốc độ và giá cả quan trọng. Sự thanh lọc của thị trường có thể không dễ chịu trong thời điểm này, nhưng về lâu dài, nó làm cho công việc trung thực trở nên bền vững hơn — và trả lại các chiếc TV cho chủ sở hữu của chúng.
```