2026年7月2日至3日,联邦调查局(FBI)、美国国税局(IRS刑事调查处)和谷歌威胁情报组共同摧毁了NetNut——全球最大的住宅代理网络之一。 在“合法提供商”的美丽招牌下,隐藏着一个由超过200万个被黑家庭设备(如智能电视、电视机顶盒和Android设备)组成的Popa僵尸网络。这是半年内第二次公开打击市场上的大型参与者——它彻底划清了诚实住宅代理与犯罪基础设施之间的界限。
到底发生了什么
7月2日,谷歌威胁情报组(GTIG)关闭了NetNut用于管理僵尸网络的谷歌账户和服务(指挥与控制)。与此同时,FBI与IRS刑事调查处联合查扣了与该网络相关的数百个域名。主要域名netnut.com现在指向FBI的没收通知,而域名netnut.io的DNS服务器已更改为特征性ns1.fbi.seized.gov。与之相关的品牌也被查扣——proxyjet.io和divinetworks.com。
NetNut背后是一家公开的以色列公司Alarum Technologies Ltd(纳斯达克:ALAR)——这并不是一个地下团伙,而是一个在交易所上市的企业。该公司的律师Omer Weiss表示,“Alarum对这一情况非常重视,并将全力配合执法机关,以确保对其基础设施的任何滥用都得到彻底调查”。
根据谷歌的评估,这一协调行动对NetNut代理网络及其业务造成了“重大损失,使运营商可用设备池减少了数百万”。这是一种经典的情景:早在2026年1月,谷歌就以类似的方式摧毁了竞争网络IPIDEA。
200万台电视的僵尸网络如何伪装成“住宅代理”
Popa僵尸网络至少自2020年开始运作。设备通过三种方式进入网络:
- 被植入的应用程序。 用户下载看似无害的IPTV、流媒体和“实用”应用程序,其中隐藏了代理SDK。大型僵尸网络Badbox 2.0就是这样运作的,其插件与NetNut重叠。
- 工厂预装。 部分廉价智能电视和电视机顶盒在交付给消费者时已经内置了代理代码——设备在拆箱后立即成为出口节点。
- 感染的应用商店展示。 问题的规模巨大:研究人员的数据显示,代理SDK包含42%的LG webOS应用程序和超过26%的三星Tizen应用程序。
结果是:数百万个真实的家庭IP地址,无法与“真实”用户区分——这正是市场愿意支付溢价的原因。只是这些电视的拥有者并未同意任何事情,也没有获得任何报酬。
一周内316个团伙:他们用这些做什么
GTIG报告中最令人担忧的数字是:仅在2026年6月的一周内,谷歌记录到316个独立的威胁集群通过NetNut节点发起。这是一群网络犯罪分子和与间谍活动相关的团体的混合。主要场景包括:
- 密码喷洒。 攻击者通过成千上万的不同住宅IP进行尝试,使用被盗和猜测的密码进行登录尝试。登录监控系统对此并未发现任何异常流量,因为来自单一来源的尝试数量的经典保护措施失效。
- 攻击时的掩护。 住宅IP在访问受害者的被攻陷环境和攻击者自身基础设施时隐藏了真实位置。
- 账户劫持、广告欺诈和大规模抓取——在“家庭”地址的掩护下进行。
对感染设备的拥有者来说,另一个危险是:通过您的电视传递的外部流量与您的IP绑定。您的合法请求可能会被相邻的服务标记为可疑并被阻止——而攻击者在需要时可以在您的家庭网络中找到立足点。
为什么这对整个代理市场造成冲击
NetNut不仅自己销售,还以白标模式运作:许多流行的“品牌”住宅代理实际上是以自己的名义转售其基础设施。GTIG通过引用直接描述了市场机制:“当运营商自己的僵尸网络退化时,代理运营商开始向竞争对手购买容量,转变为转售商”。也就是说,在他人的美丽招牌下,您可能在不知情的情况下使用了同样被黑的电视。
第二个系统性失败是薄弱的KYC。购买基础设施的访问权限时无需提供真实姓名,这为数百个犯罪集群打开了大门。即使是“干净”的业务部分也受到影响:NetNut有一个DiviNetworks方向,通过与提供商的直接合同提供ISP代理(这正是合法的模式),但在网络被摧毁时,一切都受到了冲击。
对于诚实的用户来说,结论很简单:IP地址的来源并不是一个抽象的“伦理”问题,而是您操作稳定性的问题。僵尸网络提供商可以在一夜之间被查扣,其地址池因数百名罪犯的声誉而受到污染,而使用这样的网络本身就是法律风险。因此,理解代理类型及其来源之间的区别非常重要:住宅代理是如何运作的和 移动代理,以及在何时任务仅需快速和可预测的服务器代理而不需要所有这些住宅代理的戏剧。
如何区分诚实的住宅代理和僵尸网络
NetNut的崩溃是重新审视供应商选择清单的好时机。需要关注的事项:
- 透明的IP来源。 合法的住宅和ISP地址要么通过与提供商的直接合同获得,要么通过用户的明确同意以真实补偿获得。如果提供商对池的来源含糊其辞——这是一个红旗。
- 没有“未使用流量的补偿”。 谷歌明确建议避免那些提供“互联网分享”或“未使用带宽”补偿的应用程序——这是感染僵尸网络代理的主要途径。如果您的代理网络依赖于这些应用程序,您就是问题的一部分。
- 真实的KYC和使用规则。 不询问您是谁以及为什么的提供商,同样容易将访问权限出售给您和密码喷洒团伙。
- 池的稳定性。 在数百次攻击中曝光的地址会迅速被反欺诈系统列入黑名单。干净、可管理的池在僵尸网络已经被摧毁的地方更稳定。
我们已经详细讨论了这些阴暗网络如何从感染设备的角度运作,在关于智能电视作为住宅代理的出口节点的材料中——NetNut的故事正是这一场景的逻辑终结,伴随着FBI的逮捕令。
这在实践中有什么改变
对于进行网络抓取、多账户管理、SMM自动化或仅仅绕过地理限制的团队来说,主要信号是:住宅代理市场正在经历痛苦的“整顿”。在半年内,公开摧毁了两个大型网络(IPIDEA在1月,NetNut在7月),而谷歌正有条不紊地关闭C2基础设施,并通过Play Protect警告用户。便宜的“来自无处的住宅代理”并不是划算的交易,而是定时炸弹:网络可能会被关闭,池被污染,与犯罪流量的联系会带来声誉和法律风险。
赢家是那些将代理视为基础设施而非灰色消耗品的人:选择透明的提供商,了解地址的来源,并为每个任务选择合适的类型——在需要“活”IP的地方使用住宅代理,在最敏感的平台上使用移动代理,在速度和价格重要的地方使用服务器代理。市场整顿在当下是令人不快的,但从长远来看,它使诚实的工作更具韧性——而电视则归还给它们的拥有者。
