- Advertisement -spot_img

Google interrumpe la red de proxy residencial NetNut que abarca 2 millones de dispositivos domésticos

Google se ha degradado significativamente tuerca netauna de las redes más grandes que convierte los dispositivos domésticos en repetidores alquilados para el tráfico de otras personas.

En colaboración con el FBI, Lumen y otros, el Threat Intelligence Group (GTIG) de Google dijo esta semana que había reducido en millones el conjunto de dispositivos utilizables de la red.

Google identifica NetNut, también rastreado como popacomo una red extendida a través de dispositivos domésticos en todo el mundo, incluidos televisores inteligentes y cajas de transmisión, y GTIG estima que la red tiene al menos 2 millones de dispositivos.

Si uno de esos dispositivos está en su casa, los extraños pueden dirigir su propio tráfico a través de su conexión a Internet y su dirección es la culpable de lo que hagan con él.

Cómo funciona

Una red de proxy residencial vende acceso a direcciones de Internet residenciales reales. Los atacantes pagan para dirigir su tráfico a través de su conexión de modo que parezca una navegación doméstica normal, no el tráfico del centro de datos que las herramientas de seguridad tienden a bloquear.

Para crear ese grupo, los operadores necesitan que su código se ejecute en dispositivos domésticos. Algunos dispositivos se envían con él preinstalado en hardware económico de otra marca; otros lo detectan cuando alguien instala una aplicación gratuita que lo oculta. Una vez que está en funcionamiento, el dispositivo se convierte en un “nodo de salida”, una puerta por la que fluye el tráfico de otras personas.

Google dice que un nodo de salida lleva el tráfico externo al interior de la red doméstica, dando a los atacantes un punto de apoyo para llegar a otros dispositivos en ella. Algunos de estos dispositivos domésticos también han sido incluidos en grandes botnets de ataque como Mirai y Badbox 2.0.

LEER  Investigadores descubren una operación minera que utiliza señuelos ISO para difundir RAT y criptomineros

En una sola semana de junio, GTIG contó 316 grupos de amenazas distintos que utilizaban presuntos nodos de salida de NetNut, incluidos grupos de ciberdelincuentes y de espionaje, para ocultar su ubicación real y ejecutar ataques de adivinación de contraseñas.

La empresa detrás de esto

A diferencia de la mayoría de las botnets proxy, NetNut se remonta a una empresa pública. En junio, investigadores de Qurium, Synthient, Nokia Deepfield y Spur vincularon a Popa con NetNut.

NetNut es un proveedor de proxy propiedad de la empresa israelí que cotiza en bolsa Alarum Technologies (NASDAQ: ALAR). En una prueba controlada, Synthient dijo que el tráfico que envió al portal comercial de NetNut salió a través de un dispositivo que había inscrito en Popa.

Synthient lo planteó como evidencia de la ruta del tráfico, no como prueba de lo que NetNut sabía o pretendía. La propia inteligencia de Google coincide: trata a NetNut y Popa como la misma red, y dice que los informes públicos coinciden con su visión de cómo NetNut construye su botnet. Hacker News cubrió los hallazgos de los investigadores cuando fueron publicados.

Alarum rechaza la etiqueta de “botnet”. Califica la investigación como “afirmaciones demostrablemente inexactas y deducciones erróneas en lugar de hechos verificados”, y dice que su software es para compartir ancho de banda de forma consentida que no compromete los dispositivos en los que se ejecuta.

Las pruebas de los investigadores complican esa defensa: Synthient informó que ninguna de las más de 20 aplicaciones que examinó realmente mostró a los usuarios una solicitud de consentimiento.

Por qué un derribo no es suficiente

Cortar NetNut es complicado por diseño. NetNut ejecuta un programa de revendedores que permite a otras empresas vender su red con sus propias marcas. Google dice que tiene gran confianza en que muchas marcas de proxy populares, aparentemente separadas, en realidad están revendiendo el mismo grupo de NetNut.

LEER  Los investigadores descubren fallas de ECScape en Amazon ECS que permite robo de credenciales de tarea cruzada

Entonces, una sola eliminación afecta a muchas marcas que parecen independientes pero no lo son.

Es también por eso que Google llama a esto degradación, no muerte. Dice que su acción anterior contra una red IPIDEA similar demostró que estas redes pueden parecer resistentes: los operadores comienzan a comprar capacidad de sus rivales y, de hecho, se convierten ellos mismos en revendedores. Un daño real y duradero, dice Google, significa perseguir a varios proveedores conectados a la vez.

En enero, Google y sus socios interrumpieron IPIDEA, una red con sede en China que en su apogeo era una de las más grandes de su tipo. En julio de 2025, Google llevó ante los tribunales a los operadores de Badbox 2.0, la botnet de dispositivos Android TV secuestrados cuyos componentes se superponen con los de Popa. En cada ocasión, las redes se mostraron testarudas.

Qué deberían hacer los consumidores

La señal de advertencia más clara es una aplicación que ofrece pagarle por su “ancho de banda no utilizado” o por “compartir su Internet”. Esa es una de las principales formas en que crecen estas redes.

Más allá de eso:

  • Cíñete a las tiendas de aplicaciones oficiales y comprueba qué permisos solicita una aplicación VPN o proxy.
  • Mantenga activadas las protecciones integradas como Google Play Protect.
  • Compre cajas de transmisión y hardware de TV inteligente de fabricantes conocidos, no de marcas anónimas.

La demanda de estas direcciones particulares no desaparece cuando una red deja de funcionar; simplemente se mueve. Para los defensores y las plataformas, la siguiente señal a observar es si el tráfico vinculado a NetNut resurge bajo las marcas de revendedores.

LEER  La variante Nexcorium de Mirai aprovecha CVE-2024-3721 para secuestrar DVR TBK para botnet DDoS
- Advertisement -spot_img

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Últimos artículos

Warhammer 40,000: Dawn of War 4 se sumerge profundamente en el...

Acabamos de recibir un nuevo Informe de Battlefield de los creadores de Warhammer 40,000: El amanecer de...

Noticias relacionadas

- Advertisement -spot_img