NetNut: Mối đe dọa mạng từ 2 triệu thiết bị chiếm dụng

NetNut: Mối đe dọa mạng từ 2 triệu thiết bị chiếm dụng

Google, phối hợp cùng FBI, Lumen Technologies và các đối tác công nghiệp khác, đã tiến hành triệt phá mạng lưới proxy dân cư NetNut, còn được theo dõi là “Popa”. Ước tính ít nhất 2 triệu thiết bị nhà riêng đã bị chiếm dụng trên toàn cầu thông qua mạng lưới này, gây ra các mối đe dọa mạng nghiêm trọng.

Phân tích hoạt động của Mạng lưới Proxy Dân cư NetNut

Google đã vô hiệu hóa các tài khoản và dịch vụ Google mà NetNut sử dụng cho mục đích chỉ huy và kiểm soát (C2) mã độc, vi phạm trực tiếp các Điều khoản dịch vụ và Chính sách sử dụng chấp nhận được của Google.

Hãng cũng chia sẻ thông tin kỹ thuật về các SDK và cơ sở hạ tầng C2 backend của NetNut với các cơ quan thực thi pháp luật, nhà cung cấp nền tảng và các công ty nghiên cứu nhằm thúc đẩy việc thực thi quy định trên quy mô rộng lớn hơn.

Google Play Protect đã được cập nhật để tự động cảnh báo người dùng và vô hiệu hóa các ứng dụng đi kèm với NetNut SDKs, mở rộng khả năng bảo vệ chống lại các nỗ lực cài đặt trong tương lai trên các thiết bị Android.

Nguồn gốc và Liên kết của Mạng lưới Popa

Hoạt động này được xây dựng dựa trên việc Google triệt phá mạng lưới proxy IPIDEA vào tháng 1 năm 2026, thể hiện một chiến dịch bền bỉ chống lại các nhà điều hành proxy dân cư độc hại. NetNut vận hành một chương trình đại lý mạnh mẽ, cho phép bán lại cơ sở hạ tầng của mình dưới dạng nhãn trắng (white-labeling). Điều này có nghĩa là nhiều thương hiệu proxy phổ biến có thể đang đóng gói lại botnet NetNut dưới các tên khác nhau.

Các báo cáo điều tra độc lập đã liên kết trực tiếp botnet Popa với NetNut, một công ty con của Alarum Technologies Ltd (NASDAQ: ALAR) của Israel.

Popa hoạt động như một thành phần plugin của botnet Vo1d lớn hơn, nhắm vào các hộp TV Android không chính thức được đóng gói kèm các ứng dụng phát trực tuyến lậu.

Các nhà nghiên cứu bảo mật đã truy vết cơ sở hạ tầng điều khiển của Popa tới các tên miền như ninjatech[.]io, có liên kết với Moishi Kramer, cựu Phó Chủ tịch R&D của NetNut. Tuy nhiên, ông đã phủ nhận quyền kiểm soát hoạt động hiện tại đối với cơ sở hạ tầng này.

Phân tích Kỹ thuật và Bằng chứng Liên kết

Một công ty phân tích proxy độc lập đã phân tích SDK của Popa và phát hiện lưu lượng truy cập đi ra có liên kết thuyết phục với các máy khách NetNut. Họ khẳng định với “độ tin cậy cao” rằng các thiết bị Popa tích cực chuyển tiếp lưu lượng proxy NetNut.

Alarum Technologies đã phản bác lại việc mô tả là “botnet”, cho rằng các SDK của NetNut tạo điều kiện chia sẻ băng thông có sự đồng thuận và công ty thực thi các chính sách KYC (Biết khách hàng của bạn) cùng giám sát lạm dụng.

Tuy nhiên, một dịch vụ theo dõi proxy đã phản biện rằng NetNut thiếu quy trình xác minh doanh nghiệp có ý nghĩa, cho phép các cá nhân mua quyền truy cập proxy với sự xác thực tối thiểu.

Quy mô và Tầm ảnh hưởng của Mối đe dọa

Các nhà nghiên cứu ước tính botnet Popa luân chuyển từ 1.5 đến 2.5 triệu địa chỉ IP riêng biệt mỗi ngày, được điều khiển bởi khoảng 250-300 tên miền bộ điều khiển. Điều này làm cho nó trở thành một trong những mạng lưới proxy được bán lại nhiều nhất trong hệ sinh thái tội phạm mạng.

Các nhà nghiên cứu khác cho rằng số lượng thiết bị thực tế có thể cao hơn đáng kể, dựa trên việc lấy mẫu lưu lượng nút chuyển tiếp.

Trong một tuần vào tháng 6 năm 2026, Nhóm Tình báo Mối đe dọa của Google đã quan sát thấy 316 cụm mối đe dọa riêng biệt, bao gồm các nhóm tội phạm mạng và gián điệp, tận dụng các điểm thoát (exit nodes) nghi là của NetNut để thực hiện tấn công password spraying và che giấu cơ sở hạ tầng.

Rủi ro Bảo mật cho Người dùng Cuối

Các thiết bị gia đình trở thành các nút proxy bất đắc dĩ thông qua phần mềm độc hại được cài đặt sẵn hoặc các SDK ẩn trong các ứng dụng miễn phí. Điều này khiến các thiết bị khác trên cùng một mạng có nguy cơ bị tấn công từ bên ngoài và các cuộc tấn công DDoS biến thể Mirai.

Khuyến nghị Bảo mật

Google khuyến cáo người tiêu dùng tránh các ứng dụng hứa hẹn thanh toán cho “băng thông chưa sử dụng”, chỉ tải ứng dụng từ các cửa hàng chính thức và xác minh trạng thái chứng nhận Play Protect trước khi mua các thiết bị kết nối như TV thông minh và hộp streaming.

Ngành công nghiệp proxy dân cư có mối liên kết sâu sắc, với các nhà điều hành thường xuyên bán lại dung lượng từ các đối thủ cạnh tranh khi cơ sở hạ tầng của họ bị gián đoạn. Đây là một mô hình phục hồi đã được quan sát thấy sau vụ triệt phá IPIDEA.

Cần có sự chia sẻ thông tin tình báo xuyên ngành và chặn cơ sở hạ tầng phối hợp để đạt được tác động lâu dài chống lại hệ sinh thái mối đe dọa linh hoạt và dựa trên việc bán lại này. Đây là một rủi ro bảo mật cần được các tổ chức và người dùng cá nhân chú ý.

Các tổ chức cần tăng cường khả năng phòng thủ bằng cách đẩy nhanh quá trình phát hiện mối đe dọa và điều tra nhanh chóng. Tích hợp các giải pháp phân tích mã độc tiên tiến vào Trung tâm Điều hành An ninh (SOC) là một bước đi quan trọng để đối phó với các mối đe dọa mạng tinh vi như NetNut.

Tìm hiểu thêm về cách tăng cường SOC.