In einer konzertierten globalen Aktion hat die Google Threat Intelligence Group (GTIG) gestern einen empfindlichen Schlag gegen die internationale Cyberkriminalität geführt. In enger Abstimmung mit dem Federal Bureau of Investigation (FBI) sowie führenden Partnern aus der Technologie- und Sicherheitsbranche wurden umfassende Maßnahmen ergriffen, um das bösartige Wohn-Proxy-Netzwerk NetNut (auch unter dem Namen Popa operierend) vollständig zu zerschlagen.
NetNut galt bis gestern als einer der weltweit größten und am intensivsten genutzten Akteure im Bereich der kompromittierten Wohn-Proxys (Residential Proxies).
Warum dieser Schlag von fundamentaler Bedeutung ist
Die moderne Proxy-Infrastruktur im Darknet und Graumarkt ist ein komplexes, tief miteinander verwobenes Ökosystem. Die verschiedenen Betreiber agieren selten autark; sie kaufen und verkaufen kontinuierlich Botnetz-Kapazitäten untereinander, um ihre Pools künstlich zu vergrößern. NetNut nahm in diesem Geflecht eine Schlüsselrolle als einer der beliebtesten und volumetrisch größten Lieferanten ein.
Nachdem Google und seine Partner bereits Anfang des Jahres das IPIDEA-Netzwerk erfolgreich neutralisieren konnten, markiert die aktuelle Operation gegen NetNut den nächsten logischen Meilenstein. Durch die Zerschlagung wird der weltweite Marktpool an illegalen Proxys auf einen Schlag um Millionen von Geräten reduziert. Dies bricht nicht nur die operativen Kapazitäten von NetNut selbst, sondern setzt auch ein klares Signal für das unermüdliche Engagement der GTIG, die zugrundeliegenden Botnetz-Strukturen der globalen Cyberkriminalität systematisch auszuhebeln.
Die Kerndaten der Bedrohung im Detail
Analysen und Untersuchungen aus den internen Intelligence-Blogs der GTIG verdeutlichen die enorme Tragweite und Schadwirkung des Netzwerks:
- Infrastruktur mit massiver Reichweite: Nach fundierten Schätzungen der GTIG kontrollierte NetNut weltweit ein Botnetz von mindestens 2 Millionen infizierten Geräten. Hierbei handelte es sich keineswegs nur um klassische Computer: Das Netzwerk rekrutierte seine Knotenpunkte in erheblichem Maße aus Smart-TVs und Streaming-Boxen in Privathaushalten. Diese Infektionen wurden maßgeblich durch manipulierte, trojanisierte Anwendungen und spezialisierte Botnetze wie Badbox 2.0 vorangetrieben, welche die bösartigen Proxy-Plugins unbemerkt im Hintergrund ausführten.
- Knotenpunkt für globale Spionage und Kriminalität: Die illegale Infrastruktur wurde von Bedrohungsakteuren rund um den Globus exzessiv genutzt. Allein in einer einzigen Woche im Juni 2026 registrierte die GTIG 316 eigenständige Bedrohungscluster, die über NetNut operierten. Das Spektrum der Nutzer reichte von rein finanziell motivierten Cyberkriminellen bis hin zu staatlich gelenkten Spionagegruppen. Sie missbrauchten das Netzwerk, um ihre wahren Herkunfts-IP-Adressen zu verschleiern, großflächige Password-Spraying-Angriffe zu maskieren und unbemerkt in die IT-Umgebungen ihrer Opfer einzudringen.
- Direkte Gefahr für Endverbraucher: Für ahnungslose Verbraucher bedeutete die Infektion ein erhebliches Risiko. NetNut funktionierte die Hardware der Nutzer in sogenannte Exit-Nodes um. Das führte dazu, dass private Heimnetzwerke direkt für kriminelle Aktivitäten missbraucht wurden, was wiederum die Angriffsfläche für Folgebemerkungen vergrößerte. Zudem hatte dies zur Folge, dass legitimer Datenverkehr der betroffenen Endkunden von Internet-Providern (ISPs) fälschlicherweise als bösartig markiert, gedrosselt oder vollständig blockiert wurde.
Die eingeleiteten Gegenmaßnahmen im Überblick
Der Erfolg dieser Operation basiert auf einer zweigleisigen Strategie aus direkter Infrastruktur-Zerschlagung und systemischer Absicherung:
- Konsequenter Abbau der Backend-Infrastruktur: Google hat sämtliche internen Konten und Dienste, die von den NetNut-Betreibern zur Steuerung und Kontrolle (Command and Control, C2) ihrer Malware zweckentfremdet wurden, umgehend deaktiviert. Damit wurde dem Netzwerk das logistische Rückgrat abgeschnitten; die Kommunikation zwischen den infizierten Geräten und den Kontrollservern brach zusammen.
- Durchsetzung des Schutzes im gesamten Ökosystem: Zum Schutz der Endnutzer schaltete Google automatisierte Warnmeldungen über Google Play Protect und deaktivierte die identifizierten, infizierten Anwendungen direkt auf den Endgeräten. Parallel dazu wurden die gewonnenen technischen Bedrohungsinformationen (Threat Intelligence Data) in großem Stil mit internationalen Plattformanbietern, privaten Forschungsinstituten und den beteiligten Strafverfolgungsbehörden geteilt, um eine nachhaltige Bereinigung des digitalen Raums zu gewährleisten.

