圈小蛙

谷歌联合多方摧毁NetNut住宅代理网络,斩断200万台安卓僵尸设备链路

网络犯罪分子隐藏行踪的“数字庇护所”正在被逐一清剿。2026年7月2日,谷歌威胁情报小组(TAG)联合多家网络安全机构与执法部门联合宣布,成功瓦解了在黑灰产行业臭名昭著的住宅代理网络 NetNut,并强行切断了该网络与数百万台受感染安卓(Android)终端的连接。此次行动彻底打掉了这一为高级持续性威胁(APT)组织和黑客提供IP匿名化服务的庞大基础设施。

这是谷歌再一次摧毁大型僵尸网络,今年5月,谷歌曾与CrowdStrike联手,摧毁了Glassworm僵尸网络

安全团队在深入追踪多起针对企业和政府机构的撞库攻击与凭证窃取事件后,顺藤摸瓜锁定了 NetNut。调查表明,NetNut 长期向外界出售对其所控制的家庭住宅 IP 访问权。黑客一旦购买了该服务,就可以将自身的恶意攻击流量伪装成普通家庭用户的日常网络请求,从而轻易绕过大多数企业级防火墙和入侵检测系统(IDS)。

隐藏在家庭智能设备中的“隐形斗篷”

在技术实现层面,住宅代理网络与传统的机房代理有着本质的不同。传统的代理 IP 多来自于云服务商的机房段,很容易被防火墙识别并批量封禁;而住宅代理则完全寄生在运营商分配给普通居民家庭的合法 IP 段上。

谷歌威胁情报小组的评估数据显示,NetNut 的僵尸网络中至少包含200万台处于活跃状态的受感染节点。令人担忧的是,这些被控制的设备并非传统的个人电脑或智能手机,而是大量缺乏主动防御能力的安卓智能电视、机顶盒以及流媒体播放器。对于防御系统而言,来自一台正在播放流媒体视频的智能电视 IP 处的连接请求看起来完全是无害的,这使得 NetNut 成为了网络间谍实施暗中渗透的绝佳掩护。

供应链预装与木马化App沦为主要感染途径

这些原本放置在客厅的家用智能设备是如何沦为黑客攻击的跳板的?安全分析指出,主要存在两种感染途径。

第一种是供应链污染。许多廉价或小品牌的安卓电视盒子在出厂前,其系统固件中就已经被预装了特定的后门程序。用户在购买并连网的瞬间,设备便自动向 NetNut 的控制服务器进行报到,沦为僵尸网络的一部分。第二种则是应用层面的木马化。部分用户为了免费观看付费内容,会从非官方渠道下载并侧载(Sideload)被修改过的视频播放器或游戏应用。这些应用在提供正常功能的同时,会在后台静默运行恶意代理脚本,在用户毫无察觉的情况下将宽带上行流量出借给 NetNut 平台。此次多方联合取证与阻断行动的成功,不仅斩断了 NetNut 的获利链条,也极大地削减了全球黑产可用住宅 IP 的蓄水池规模。


本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️

Exit mobile version