首页 > 资讯 > 行业动态 > FBI查封NetNut代理平台,Popa僵尸网络产业链遭重创

FBI查封NetNut代理平台,Popa僵尸网络产业链遭重创

时间:2026-07-05 12:38:06 来源:51DNS.COM
分享 : 

2026年7月2日,美国FBI联合谷歌、Lumen、Shadowserver基金会等多家机构,开展大规模跨境打击行动,扣押以色列企业AlarumTechnologies旗下NetNut住宅代理平台数百个域名,官网页面直接替换为官方查封公告,同步瓦解依附其生存的Popa巨型僵尸网络。

本次行动源于安全厂商6月19日联合披露的调查证据:NetNut依托智能电视、流媒体盒子等家用设备搭建代理节点,构建总量超200万台设备的Popa僵尸网络。不法分子付费租用节点IP,掩盖攻击真实来源,用于账号劫持、爬虫薅库、广告欺诈、暴力破解等黑产行为。

执法部门联合IRS刑事调查局同步介入,不仅查封平台域名,还关停NetNut用于恶意程序指令通信的谷歌账号,下架内嵌恶意SDK的各类应用,大幅削减可供黑客调用的受害设备池。平台母公司Alarum已发布声明,表示将全力配合调查,彻查基础设施滥用问题。

僵尸网络

一、Popa僵尸网络运作模式,家用设备沦为攻击跳板

NetNut的盈利逻辑极具隐蔽性,通过预装、捆绑SDK两种方式入侵家庭智能设备:低价盗版电视盒子出厂自带代理程序,正规品牌智能电视第三方应用暗藏代理组件,设备联网后自动成为永久代理出口节点。

监测数据显示,LGWebOS平台42.5%第三方应用、三星Tizen系统26.5%应用内置代理SDK,普通用户不知情的情况下,自家网络流量被黑客借用。攻击者借助节点IP发起网络攻击时,恶意流量会穿透家庭内网,同步窃取局域网内手机、摄像头隐私数据,双重侵害用户权益。

该代理网络支持多层贴牌分销,大量第三方代理商家白标转售NetNut节点资源。2026年6月单周内,谷歌威胁情报团队监测到316组黑客团伙利用NetNut出口IP开展渗透、密码喷洒攻击,覆盖黑产、情报窃取多类威胁组织。

 

二、平台关停带来行业连锁安全影响

此前同类头部代理服务商IPIDEA刚被整治,NetNut迅速填补市场缺口,成为黑客首选流量伪装工具,此次查封直接冲击地下黑产链条。专业代理追踪机构Synthient分析,该网络关停将大幅削弱大规模DDoS僵尸网络的构建能力,减少依托家用设备发起的分布式攻击。

但行业风险并未彻底消除,报告预警代理生态具备极强韧性:原有服务商失去节点资源后,会互相采购竞品流量补充节点池,短期内仍会出现新的贴牌代理渠道。大量灰色代理分销商分散运营,增加长期溯源打击难度。

 

三、普通用户设备自查防护指南

1、选购硬件优先选择官方认证品牌电视、流媒体设备,拒绝无资质盗版电视盒子,这类设备极易预装代理恶意程序。

2、智能电视仅在官方应用商店下载软件,不安装第三方渠道破解影视、工具类App,规避暗藏的代理SDK。

3、定期查看家庭路由器联网设备列表,发现陌生终端及时断网排查,关闭设备不必要的网络权限。

4、及时更新电视、盒子系统补丁,借助设备自带安全检测功能扫描恶意组件。

 

四、企业安全运维防御方案

企业需完善终端与网络双层防护体系:全网拦截NetNut相关网关、C2恶意域名,将平台IoC情报录入防火墙、DNS过滤策略;定期审计员工终端、智能设备安装应用,拦截内嵌代理SDK的程序;建立代理IP情报库,对来自住宅代理节点的访问流量加强行为校验,拦截爬虫与账号爆破行为。同时定期同步全球代理平台查封情报,提前封堵新型灰色代理流量。

 

NetNut与Popa僵尸网络被查封,是监管层打击滥用住宅代理从事网络犯罪的关键一战,有效遏制依托家用智能设备的规模化黑产攻击。但贴牌分销、跨平台流量倒卖的模式仍持续存在,普通消费者需规范智能设备使用习惯,企业强化流量检测与终端管控,政企、用户协同发力,才能阻断代理僵尸网络滋生土壤,降低隐私泄露与网络攻击风险。

在线咨询

联系我们

提示

根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《51DNS.COM账号实名认证公告
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。

去实名