Google hat in Zusammenarbeit mit dem FBI und Lumen Maßnahmen ergriffen, um die NuNet-Infrastruktur zu zerschlagen. Über 2 Millionen gekaperte Verbrauchergeräte, darunter Smart-TVs und Streaming-Boxen, fungierten unbemerkt als Exit-Knoten für (Web-Scaping) Privat-Proxys. Laut Google gehörten alle diese Geräte zum NetNut-Netzwerk für Privat-Proxys.
"Private-Proxies" und Web-Scraping ein großes Thema
Der Missbrauch von Smart TVs und IoT-Geräten als sogenannte "Private Proxies" scheint ein riesiges Problem zu sein. Apps, oder Firmware, die auf den Geräten vom Benutzer (oder Hersteller) installiert wird, fungiert als Proxy für einen Anbieter.
Der Proxy ermöglicht dem Anbieter das Gerät für sogenanntes Web-Scraping zu missbrauchen. Sprich: Vom Gerät des Nutzers wird auf fremde Webseiten zugegriffen, um deren Inhalt über den Proxy in das Netzwerk des Proxy-Betreibers auszuleiten. Durch diese Proxies können Webseiten kaum Websperren aufsetzen.
Im Hintergrund sind es nach bisherigem Wissen israelische Firmen, die diese Proxy-Netzwerke, mit oder ohne Wissen des Nutzers, aufbauen und betreiben. Am Artikelende habe ich zwei aktuelle Artikel zu diesem Thema publiziert – einer der Anbieter, Bright Data, hat mir bereits zwei Mal Aufforderungen geschickt, den Blog-Beitrag "wegen falscher Behauptungen" (alles sei legal und erfolge im Konsens mit den Nutzern) aus dem Web zu entfernen.

Zum 23. Juni 2026 ist mir obiger Tweet untergekommen, der angibt, dass fast die Hälfte der LG-Smart-TV-Apps solche Proxys enthält. Trevor Suttor hat auf SPUR einige Details in diesem Artikel zusammen getragen. Dort taucht auch die hier am Artikelende erwähnte israelische Firma Bright Data auf.
AVAST-Analyse zu Cyberaktivitäten über private Geräte
Sicherheitsanbieter AVAST hatte mir bereits Mitte Juni 2026 eine Informationen geschickt, die obigen Sachverhalt indirekt angesprochen hat. Es hieß dort: "wenn Cyberkriminelle Phishing, Malware oder Finanzbetrug über echte private IP-Adressen laufen lassen, wirkt der Angriff nach außen wie ganz normaler Datenverkehr aus einem Haushalt". Genau dieses Risiko zeigen neue Forschungsergebnisse von Gen, dem Unternehmen hinter Avast.
Seit Anfang 2026 haben Avast-Forscher 7,4 Millionen schädliche Vorfälle entdeckt, die über sogenannte Residential-Proxy-Netzwerke geleitet wurden. Betroffen waren 572.000 Nutzer und Nutzerinnen. Dabei werden private Internetverbindungen, etwa über Laptops, Smartphones, Smart-TVs oder Router, in ein Netzwerk eines Drittanbieters eingebunden und können so zum Weiterleiten fremden Datenverkehrs genutzt werden.
Die Technologie ist nicht grundsätzlich bösartig, wird aber zunehmend zur Tarnung missbraucht. Für Verbraucher kann das konkrete Folgen haben: verdächtige Aktivitäten scheinen vom eigenen Anschluss auszugehen, Plattformen können Konten sperren, Internetanbieter Warnungen aussprechen und Heimnetzwerke können langsamer werden oder Bandbreite verlieren.
NetNut-Proxy-Netzwerk still gelegt
Im Beitrag Popa Botnetz kapert Smart TVs für Web-Scraping hatte ich darüber berichtet, dass es ein regelrechtes Botnetz (Popa) gebe, welches Smart TVs für "Private Proxies" missbraucht. Dort wurde auch das israelische Unternehmen NetNut als mutmaßlicher Drahtzieher dieses Netzwerks erwähnt.
Das in Tel Aviv-Yafo in Israel angesiedelte Unternehmen NetNut wirbt damit, einen hochwertigen Proxy-Dienst für Web-Scraping und Datensicherheit zu betreiben. Man habe über 85 Millionen "Residential-Proxys" und 5 Millionen mobile Proxys zur Umgehung von geografischen Beschränkungen und IP-Sperren zur Verfügung, heißte es auf der Webseite des Unternehmens.
Nun lese ich zum 2. Juli 2026 auf X (siehe obiger Screenshot), dass Google zusammen mit dem FBI und Lumen gegen dieses Botnet vorgegangen ist. Das FBI ließ, gemeinsam mit internationalen Partnern, die Infrastruktur des Private-Proxy-Netzwerks NetNut sowie des Popa-Botnetzes beschlagnahmen.

Das Popa-Botnetz nutzte weltweit über 2 Millionen kompromittierte Geräte (darunter oft günstige Android-TV-Boxen und Streaming-Geräte), um ahnungslose Haushalte als Proxy-Server für dubiosen Internetverkehr zu missbrauchen. Bei der Aktion seiten Hunderte Domains, die mit der Infrastruktur in Verbindung standen, vom Netz genommen und mit Beschlagnahmemeldungen versehen worden, heißt es. Wer die URL nutnet[dot]com aufruft, erhält die obige Anzeige.
Es heißt, dass die von NetNut angebotenen "Private-Proxies" teils von Dritten weiterverkauft worden seien. Dann hätten Cyberkriminelle diese Proxies genutzt, um Herkunftsorte ihrer Aktivitäten zu verschleiern.
Die Google Threat Intelligence Group (GTIG) schreibt, dass man in Abstimmung mit dem FBI und anderen Branchenpartnern Maßnahmen ergriffen habe, um NetNut (auch bekannt als Popa), eines der weltweit größten bösartigen Wohn-Proxy-Netzwerke, zu zerschlagen.
Warum das wichtig ist: Die Proxy-Branche ist tief vernetzt, da Betreiber ständig die Botnetz-Kapazitäten der anderen kaufen und weiterverkaufen, und NetNut gehört zu den größten und beliebtesten Wohn-Proxy-Netzwerken der Welt. Aufbauend auf der IPIDEA-Zerschlagung Anfang dieses Jahres beeinträchtigt die Reduzierung des NetNut-Pools um Millionen von Geräten dessen einzelne Operationen und treibt das Engagement von GTIG zur Zerschlagung von Proxy-Botnetzen weiter voran. Kernpunkte aus dem GTIG-Beitrag:
- Massive Reichweite: GTIG schätzt, dass NetNut weltweit mindestens 2 Millionen infizierte Geräte kontrolliert (einschließlich Smart-TVs und Streaming-Boxen), angetrieben durch trojanisierte Anwendungen und Botnetze wie Badbox 2.0, die Proxy-Plugins enthalten.
- Weit verbreitete Ausnutzung: In einer einzigen Woche im Juni 2026 beobachtete GTIG 316 verschiedene Bedrohungscluster – darunter Cyberkriminelle und Spionagegruppen –, die NetNut nutzten, um ihre Herkunfts-IPs zu maskieren, Password-Spraying-Angriffe durchzuführen und auf Opferumgebungen zuzugreifen.
- Risiko für Verbraucher: NetNut verwandelt Verbraucherhardware in Exit-Nodes, wodurch private Heimnetzwerke größeren Internet-Bedrohungen ausgesetzt werden und legitimer Benutzerverkehr von ISPs markiert oder blockiert wird.
Ergriffene Maßnahmen:
- Abbau der Infrastruktur: Deaktivierung von Google-Konten und -Diensten, die von NetNut für die Steuerung und Kontrolle von Malware (C2) ausgenutzt wurden, wodurch die kritische Backend-Infrastruktur abgeschnitten wurde.
- Durchsetzung des Ökosystems: Automatische Warnung von Benutzern und Deaktivierung infizierter Anwendungen über Google Play Protect, während technische Bedrohungsinformationen in großem Umfang mit Plattformanbietern, Forschungsunternehmen und Strafverfolgungsbehörden geteilt wurden.
Brian Krebs hat einige zusätzliche Informationen im Beitrag FBI Seizes NetNut Proxy Platform, Popa Botnet auf Krebs on Security veröffentlicht.
Ähnliche Artikel:
Popa Botnetz kapert Smart TVs für Web-Scraping
Israelische Firma Bright Data nutzt Apps in Smart-TV für KI-Web-Scraping




MVP: 2013 – 2016




