Google y el FBI desmantelan la botnet proxy NetNut que secuestró 2 millones de dispositivos inteligentes

El Grupo de Inteligencia de Amenazas de Google, el FBI y socios de la industria han desmantelado NetNut, una enorme red de proxy residencial que secuestró en secreto más de 2 millones de televisiones inteligentes, cajas de streaming y dispositivos Android para blanquear tráfico cibercriminal.

También conocido como Popa, el botnet infectaba dispositivos a través de aplicaciones troyanizadas y malware como Badbox 2.0, infectando desde televisiones Android genéricas hasta marcos de fotos digitales y sistemas de infoentretenimiento automotriz. Una vez comprometidos, los dispositivos eran puestos al servicio como proxies residenciales, permitiendo a los suscriptores enrutar tráfico malicioso a través de las direcciones IP de propietarios de viviendas inocentes.

Magnitud de la operación. En una sola semana de junio de 2026, Google observó 316 grupos de amenazas distintas que utilizaban presuntos nodos de salida de NetNut, incluyendo grupos tanto cibercriminales como de espionaje. Los clientes utilizaban la red para ocultar sus IPs de origen durante ataques de pulverización de contraseñas, acceder a entornos de víctimas y disfrazar su uso de infraestructura comprometida.

NetNut está vinculado a la empresa israelí que cotiza en bolsa Alarum Technologies. El abogado Omer Weiss declaró que la empresa estaba al tanto de la incautación del FBI y que coopera con los investigadores.

Cómo funcionó el desmantelamiento. Google desactivó las cuentas y servicios utilizados por NetNut para el comando y control de malware, desactivó las aplicaciones infectadas a través de Google Play Protect, envió advertencias a las víctimas y compartió inteligencia técnica sobre los kits de desarrollo de software de NetNut con proveedores de plataformas y fuerzas del orden. El FBI incautó múltiples nombres de dominio vinculados a la red.

«Creemos que nuestras acciones coordinadas han causado una degradación significativa a la red proxy de NetNut y a sus operaciones comerciales, reduciendo el grupo de dispositivos disponibles para el operador de proxy en millones», dijo Google.

La operación sigue a una serie de interrupciones similares. Google previamente había atacado la campaña original de Badbox y ha emprendido acciones legales contra operadores de proxy residenciales. KrebsOnSecurity y Synthient publicaron evidencia que vincula a Popa con NetNut y Alarum Technologies antes del desmantelamiento.

Fuente: KrebsOnSecurity, SecurityWeek, Grupo de Inteligencia de Amenazas de Google

Traducido por Alessandra

Scroll to Top