Montag , 6 Juli 2026

Das digitale Magazin für Deutschland

Schlag gegen Cyberkriminalität: Google und FBI zerschlagen weltweites Proxy-Botnetz „NetNut“

In einer konzertierten Aktion haben die Google Threat Intelligence Group (GTIG), das US-Bundeskriminalamt FBI sowie weitere Branchenpartner einen der weltweit größten Betreiber von bösartigen Wohn-Proxy-Netzwerken (Residential Proxies) zerschlagen. Das Netzwerk, das unter dem Namen NetNut (auch bekannt als Popa) firmiert, kontrollierte Millionen infizierter Geräte rund um den Globus.

 


 

+++ Unser kostenloser Handy-Schnäppchen Channel ist hier zu finden: Handy Deals und Aktionen (Telegram) oder Mobile Deals (WhatsApp). +++

 


 

Im Zuge der Aktion wurden unter anderem zentrale Web-Domains des Anbieters (wie beispielsweise netnut[.]com/isp-proxies/) durch das FBI beschlagnahmt und die technische Backend-Infrastruktur lahmgelegt.

Warum die Zerschlagung von NetNut ein Meilenstein ist

Die kommerzielle Proxy-Branche ist in der Cyberkriminalität tief verwurzelt. Betreiber kaufen, mieten und verkaufen ständig gegenseitig Botnetz-Kapazitäten, um ihren Kunden anonyme IP-Adressen anzubieten. NetNut gehörte dabei zu den größten und beliebtesten Netzwerken weltweit.

Nach der Zerschlagung des Netzwerks IPIDEA Anfang dieses Jahres markiert das Vorgehen gegen NetNut den nächsten schweren Schlag für die Szene. Durch die Aktion verliert die Cybercrime-Infrastruktur auf einen Schlag einen Pool von Millionen kompromittierter Geräte. Dies beeinträchtigt nicht nur die Operationen von NetNut selbst, sondern schwächt das gesamte globale Netzwerk aus kriminellen Proxy-Dienstleistern.

Die wichtigsten Erkenntnisse im Überblick

  • Massive Reichweite im Smart-Home-Bereich: Nach Schätzungen der GTIG kontrollierte NetNut weltweit mindestens 2 Millionen infizierte Geräte. Darunter befanden sich neben klassischen Computern vor allem Smart-TVs und Streaming-Boxen. Infiziert wurden die Geräte über manipulierte Apps („Trojaner“) und Botnetze wie Badbox 2.0, die heimlich Proxy-Plugins ausführten.
  • Schnittstelle für Spione und Cyberkriminelle: NetNut diente als massives Tarnnetzwerk. Allein in einer einzigen Woche im Juni 2026 registrierte die GTIG 316 verschiedene Bedrohungscluster, die NetNut nutzten. Sowohl klassische Cyberkriminelle als auch staatlich akreditierte Spionagegruppen verschleierten so ihre Herkunfts-IPs, führten großflächige Password-Spraying-Angriffe durch und drangen in Opfersysteme ein.
  • Hohes Risiko für ahnungslose Verbraucher: NetNut missbrauchte die Hardware von Privatpersonen als sogenannte „Exit-Nodes“ (Ausgangsknoten). Für die betroffenen Verbraucher hatte dies zur Folge, dass ihre privaten Heimnetzwerke direkten Internet-Bedrohungen ausgesetzt waren. Zudem blockierten oder markierten Internetdienstanbieter (ISPs) den legitimen Datenverkehr der Anschlussinhaber, da über deren Leitungen kriminelle Aktivitäten liefen.

Technische Gegenmaßnahmen: So wurde NetNut blockiert

Um das Netzwerk nachhaltig zu schwächen, griffen die IT-Sicherheitsexperten und Ermittler zu einem Bündel aus Infrastruktur- und Schutzmaßnahmen:

  1. Infrastruktur-Abbau: Google deaktivierte sämtliche Google-Konten und -Dienste, die von NetNut zur Steuerung und Kontrolle (Command and Control, C2) der Malware missbraucht wurden. Damit wurde das Backend des Botnetzes effektiv vom Rest des Netzes abgeschnitten.
  2. Schutz des Ökosystems: Über Google Play Protect wurden infizierte Anwendungen auf Android-Geräten automatisch deaktiviert und die betroffenen Nutzer gewarnt.
  3. Breiter Informationsaustausch: Technische Bedrohungsinformationen (Threat Intelligence) wurden im großen Stil mit anderen Plattformanbietern, IT-Forschungsunternehmen und internationalen Strafverfolgungsbehörden geteilt, um verbliebene Reste des Botnetzes zu isolieren.

Weiterlesen!

XGIMI-Tochter MemoMind revolutioniert Wearables: KI-Brille „MemoMind One“ ab sofort bestellbar

Der Beamer-Spezialist XGIMI wagt den Sprung auf die Nase: Unter der neu gegründeten Hardware-Marke MemoMind …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert