Το NetNut δεν ήταν απλώς ένα τυχαίο κακόβουλο λογισμικό, αλλά μια εξαιρετικά δομημένη εμπορική επιχείρηση. Σύμφωνα με αναφορές του Reuters, το δίκτυο ξεκίνησε το 2017 ως θυγατρική της ισραηλινής εταιρείας κυβερνοασφάλειας Alarum Technologies.
Το επιχειρηματικό του μοντέλο βασιζόταν στην πώληση πρόσβασης σε πραγματικές, οικιακές διευθύνσεις IP (residential IPs). Αυτό επιτρέπει σε πελάτες —μεταξύ των οποίων εγκληματικές οργανώσεις— να δρομολογούν την ψηφιακή τους κίνηση μέσα από τα σπίτια ανυποψίαστων πολιτών, αποκρύπτοντας τα πραγματικά τους ίχνη και παρακάμπτοντας τα συστήματα ασφαλείας.
Επιπλέον, το NetNut διέθετε ένα επιθετικό πρόγραμμα μεταπωλητών (whitelabeling program). Η Google εκτιμά με υψηλή βεβαιότητα ότι πολλές από τις γνωστές εμπορικές μάρκες residential proxy στην παγκόσμια αγορά απλώς μεταπωλούσαν την πρόσβαση στο botnet του NetNut κάτω από το δικό τους brand name.
Πώς 2 εκατομμύρια σπίτια μετατράπηκαν σε κόμβους χάκερ
Η Ομάδα Πληροφοριών Απειλών της Google (GTIG) χαρτογράφησε το μέγεθος του δικτύου σε τουλάχιστον 2 εκατομμύρια διασκορπισμένες συσκευές παγκοσμίως. Η «στρατολόγηση» των συσκευών —κυρίως Smart TVs, Android streaming boxes και routers— γινόταν με δύο τρόπους:
- Προεγκατεστημένο Malware: Φτηνές, μη πιστοποιημένες συσκευές (όπως TV boxes άγνωστης προέλευσης) έφταναν στα χέρια των καταναλωτών έχοντας ήδη ενσωματωμένο κακόβουλο λογισμικό, όπως τα plugins του Badbox 2.0.
- Παραπλανητικές Εφαρμογές: Χρήστες κατέβαζαν εφαρμογές που υπόσχονταν «χρήματα με αντάλλαγμα την αχρησιμοποίητη σύνδεση ίντερνετ (bandwidth sharing)», οι οποίες ενσωμάτωναν τα κιτ ανάπτυξης λογισμικού (SDKs) του NetNut.
Η κατάχρηση ήταν τρομακτική. Μέσα σε μόλις μία εβδομάδα τον Ιούνιο του 2026, η Google εντόπισε 316 διαφορετικές ομάδες απειλών —από συμμορίες κυβερνοεγκληματιών έως κρατικά υποστηριζόμενες ομάδες κατασκοπείας— να χρησιμοποιούν τους κόμβους του NetNut για επιθέσεις password spraying, υποκλοπές δεδομένων, ακόμη και για επιθέσεις άρνησης εξυπηρέτησης (DDoS) μέσω του botnet Mirai.
Η συντονισμένη αντεπίθεση και το Play Protect
Η κοινή επιχείρηση Google, FBI και Lumen κατάφερε καίριο πλήγμα στην υποδομή (Command & Control – C2) του δικτύου. Συγκεκριμένα, η Google απενεργοποίησε άμεσα όλους τους λογαριασμούς και τις cloud υπηρεσίες Google που χρησιμοποιούσε η NetNut για τον έλεγχο του κακόβουλου λογισμικού. Ακόμη, θωράκισε το Android και ενημέρωσε το Google Play Protect, ώστε να ανιχνεύει αυτόματα, να απενεργοποιεί και να μπλοκάρει οποιαδήποτε εφαρμογή ενσωματώνει τα κακόβουλα SDKs του NetNut στις συσκευές των χρηστών. Τέλος, μοιράστηκε κρίσιμα τεχνικά δεδομένα (Threat Intelligence) με διωκτικές αρχές και ανταγωνιστικές πλατφόρμες για τον συνολικό καθαρισμό του οικοσυστήματος.
Το «φαινόμενο Λερναίας Ύδρας» στην αγορά των Proxies
Η ενέργεια αυτή αποτελεί συνέχεια του επιτυχούς «χτυπήματος» στο δίκτυο IPIDEA τον Ιανουάριο του 2026. Ωστόσο, η Google προειδοποιεί ότι η αγορά των residential proxies είναι βαθιά διασυνδεδεμένη.
Όταν ένας πάροχος υφίσταται πλήγμα και χάνει το δικό του botnet, στρέφεται άμεσα στην αγορά χωρητικότητας από τους ανταγωνιστές του, λειτουργώντας πλέον ως απλός μεταπωλητής. Γι’ αυτό, όπως επισημαίνουν οι αναλυτές της εταιρείας, ο οριστικός τερματισμός αυτής της βιομηχανίας απαιτεί συνεχή, κλιμακούμενη δράση εναντίον πολλαπλών διασυνδεδεμένων παρόχων ταυτόχρονα.

