Zum Inhalt springen

FBI zerlegt NetNut-Proxy-Netzwerk und Popa-Botnet mit Hunderten Domain-Sperren

Auf den Punkt: Das FBI hat NetNut — ein Proxy-Netzwerk auf Basis des Popa-Botnet mit zwei Millionen kompromittierten Geräten — beschlagnahmt, nachdem Sicherheitsfirmen im Juni dessen Verbindung zu Malware auf Smart-TVs und Streaming-Boxen dokumentiert hatten.

Das FBI hat gemeinsam mit Partnern wie Google, Lumen und Shadowserver Hunderte Domains der israelischen Proxy-Plattform NetNut beschlagnahmt. Das Netzwerk betrieb das Popa-Botnet, das mindestens zwei Millionen kompromittierte Geräte umfasste und massiv für Cybercrime-Aktivitäten missbraucht wurde.

Das FBI und die Criminal Investigation-Abteilung des Internal Revenue Service beschlagnahmten Hunderte Domains, die mit NetNut verbunden sind, einem Residential-Proxy-Dienst des NASDAQ-notierten Unternehmens Alarum Technologies. Die Maßnahme folgte zwei Wochen nach veröffentlichten Findings von Sicherheitsfirmen, die NetNut direkt mit dem Popa-Botnet verknüpften — einem Netzwerk von mindestens zwei Millionen kompromittierten Geräten, die ohne Zustimmung der Nutzer mit Malware infiziert wurden.

Am 19. Juni hatten drei verschiedene Sicherheitsunternehmen synchronisiert dokumentiert, dass NetNut eine Residential-Proxy-Infrastruktur betreibt, die auf Software basiert, die auf Heimgeräten wie Smart-TVs und Streaming-Boxen installiert wird. Diese Systeme werden als stets aktive Proxy-Knoten funktionalisiert und an Dritte vermietet, die sie überwiegend für Missbrauch nutzen: Datenraub in großem Stil, Werbefraud und Account-Takeover-Angriffe. Googles Threat Intelligence Group (GTIG) beobachtete in einer einzigen Juniwoche 316 unterschiedliche Cluster von Bedrohungsakteuren, die mutmaßliche NetNut-Exit-Knoten nutzten — einschließlich Cybercrime- und Spionagegruppen. NetNut-Proxies wurden zudem von zahlreichen Drittanbietern weiterverkauft und unter eigenem Label angeboten.

Google deaktivierte Google-Konten und -Dienste, die NetNut für Command-and-Control genutzt hatte, sperrte Apps, die NetNut-SDKs bundelte, und teilte technische Informationen zu NetNut-Malware-Kits und Backend-Infrastruktur mit Plattformbetreibern, Strafverfolgungsbehörden und Forschungsunternehmen. Das Unternehmen warnte zudem, dass über ein kompromittiertes Heimgeräte-Exit-Node Angreifer auf andere Geräte im selben Heimnetzwerk zugreifen konnten und damit weitere Systeme direkt exponiert wurden.

Benjamin Brundage, Gründer des Proxy-Tracking-Dienstes Synthient und selbst an der Juni-Veröffentlichung beteiligt, sagte, die Domain-Beschlagnahmen hätten sowohl das Popa-Botnet als auch die darauf aufgebaute NetNut-Infrastruktur unterbrochen. NetNuts Ausfall trifft die Cybercrime-Community, die bereits unter früheren Aktionen von Google gegen ihren größten Konkurrenten IPIDEA litt. Nach IPIDEAs Takedown habe NetNut erheblich an Popularität gewonnen — dieses Mal könnte der Einfluss auf die verfügbare Infrastruktur für Angreifer deutlich größer sein.


Quelle: krebsonsecurity.com · Erschienen 2. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: