兵器影像 谷歌和FBI联手捣毁了一个基于数百万台被劫持家用设备构建的住宅代理网络(说个题外话,美国媒体发这条消息的时候,死活不说这是以色列人干的事)2026年7月2日,谷歌宣布已对NetNut(又名Popa,以色列公司)住宅代理网络采取联合行动。据谷歌威胁情报小组(GTIG)称,此次行动由谷歌与美国联邦调查局(FBI)、Lumen及其他合作伙伴共同开展,此前该公司已于2026年1月成功破坏了IPIDEA代理网络。据该公司称,此次行动分为三个部分。谷歌禁用了NetNut涉嫌用于恶意软件命令与控制(C2)的账户和服务,理由是其违反了服务条款和可接受使用政策。谷歌还与平台提供商、执法部门和研究机构共享了有关NetNut软件开发工具包(SDK)和后端C2基础设施的技术情报。此外,谷歌还启用了Android内置的安全层Google Play Protect,以警告用户并禁用已知携带NetNut SDK的应用,并持续阻止未来的安装尝试。谷歌认为,这些措施综合起来严重损害了NetNut的网络和业务,导致该运营商可用的设备数量减少了数百万台。在本文查阅的资料中,NetNut尚未对此作出公开回应。超过200万台设备GTIG 估计 NetNut 控制着全球至少 200 万台设备,但同时警告称,估算住宅代理网络的规模极其困难。KrebsOnSecurity 的报道(谷歌已证实该报道)记录了该网络如何通过嵌入智能电视和流媒体盒子等常见家用硬件中的 SDK 进行自我传播。设备最终被纳入网络的原因要么是恶意软件在购买前已预装,要么是用户在不知情的情况下下载了带有隐藏代理代码的应用程序。GTIG 表示,他们还在大型僵尸网络中发现了 NetNut 的插件组件,包括 Badbox 2.0。为什么这很重要住宅代理网络出售将流量路由到普通互联网服务提供商客户的 IP 地址的功能。对于攻击者而言,这意味着入侵、凭证攻击和基础设施访问都看起来像是来自普通家庭,而不是可疑的托管服务提供商。谷歌发布的报告中最令人震惊的数字是滥用的规模。仅在2026年6月的一周内,GTIG就观察到316个不同的威胁集群,涵盖网络犯罪和间谍组织,这些集群利用疑似NetNut出口节点进行包括密码喷洒攻击在内的活动,并在入侵受害者环境时掩盖其来源。当消费者设备成为出口节点时,未经授权的流量会通过用户的家庭网络连接传输,其IP地址可能会被服务提供商标记或屏蔽,同一网络上的其他设备也会受到威胁。据谷歌称,Synthient、Spur和诺基亚Deepfield的研究人员已记录到NetNut被用于感染设备,使其感染Mirai DDoS僵尸网络的变种。或许最具影响力的论断是关于市场本身的。谷歌表示,他们高度确信许多流行的住宅代理品牌实际上通过运营商的经销商计划贴牌销售NetNut僵尸网络。在IPIDEA被查封后,谷歌观察到,面临网络性能下降的运营商会直接从竞争对手那里购买容量,实际上自己也变成了经销商。谷歌认为,要造成持久的破坏,需要打击多个相互关联的供应商,而不是一次只攻击一个网络。此前,NetNut就曾通过无数智能电视应用,在数亿家庭中植入了后门,它们正在悄无声息地将三星和LG电视变成AI网络抓取的出口节点。你的电视正在从你的家庭IP、你的带宽、你的地址转发陌生人的网络流量,无论那些抓取任务接触到什么。Roku、Fire TV 和 Google TV 禁止了这种做法。三星和LG没有。罪魁祸首是Bright Data的代理SDK,它嵌入在Tizen和webOS应用中,仅webOS上就有200多个。数据中心IP会被屏蔽,家庭IP不会。Include Security逆向工程了这个SDK,发现其中继协议没有消息签名、认证或设备证明。他们的原话:安全性比典型的恶意软件命令与控制还要低。更糟糕的是,他们发现iOS上的中继隧道直接绑定到物理网络接口,因此它会绕过用户正在运行的任何VPN。Bright Data的配置还按国家分层。乌兹别克斯坦和阿曼的设备被允许在电池低至1%时中继,数据上限高达全球默认值的60倍。在那些“BaCkDoOrEd”回复到来之前:技术上你同意了。实际上,你被强制加入了一个全球代理网络,你从未被告知有权拒绝。而且这些出口节点会拉低你IP的声誉,可能导致你被提供商屏蔽。




