Статус проверен 12 июля 2026 года: на netnut.com (а позже на alarum.io) появилось совместное уведомление об изъятии от ФБР и IRS Criminal Investigation после скоординированной операции, раскрытой 2–3 июля 2026 года. По сообщениям, основной коммерческий домен NetNut netnut.io какое-то время оставался доступен. Поэтому фраза «NetNut исчез» была бы преувеличением, а корректная формулировка — «работа NetNut нарушена, а материнская компания находится под давлением правоохранителей».
NetNut — одна из крупнейших коммерческих сетей residential-прокси — в начале июля 2026 года подверглась скоординированной операции правоохранителей и индустрии. По данным Google Threat Intelligence Group (GTIG) и материалам Krebs on Security, операция объединила уголовное изъятие инфраструктуры с технической нейтрализацией лежащего в основе ботнета. Тема быстро развивается, поэтому ниже подтверждённые факты отделены от спорных.
Что произошло#
Примерно 2–3 июля 2026 года Google Threat Intelligence Group совместно с ФБР, подразделением IRS Criminal Investigation (США), компанией Lumen (Black Lotus Labs) и Shadowserver Foundation провела скоординированную операцию против NetNut — об этом сообщает блог Google Cloud Threat Intelligence и последующие публикации по безопасности.
В рамках действий ФБР изъяло сотни доменов, связанных с операцией. Совместное уведомление об изъятии от ФБР и IRS было размещено на netnut.com, а позже аналогичное уведомление появилось на alarum.io. При этом, по данным Krebs on Security, основной клиентский домен NetNut — netnut.io — некоторое время оставался доступен после появления баннеров об изъятии. Эту деталь важно отметить: она показывает, что нейтрализация не была мгновенным и полным отключением всех активов.
Корректнее всего описывать это как скоординированное изъятие и нарушение работы, а не как обычный сбой. В отличие от аварии инфраструктуры, здесь есть названные ведомства, публичный баннер об изъятии и техническая кампания против ботнета, питавшего прокси-сеть.
Кто такие NetNut и Alarum#
NetNut управляется израильской публичной компанией Alarum Technologies Ltd., торгующейся на Nasdaq под тикером ALAR. Alarum продвигала NetNut как residential- и ротационный прокси-сервис корпоративного уровня для сбора данных, проверки рекламы и защиты бренда.
Реакция рынка была резкой. По обновлению Krebs on Security от 8 июля, акции Alarum упали примерно на 67% за неделю, торгуясь около $2,62 за акцию. Падение такого масштаба у публичной компании само по себе показывает, что инвесторы восприняли операцию как существенную, а не рутинную.
Здесь нужна точность: публичное уведомление об изъятии и обвал котировок доказывают, что бизнес NetNut был целью и понёс серьёзный ущерб. Сами по себе они не предрешают исход будущих судебных разбирательств. Правоохранительное действие — факт; вопрос об окончательной юридической ответственности пока открыт.
Ботнет Popa и как заражались устройства#
Ядро дела — связь NetNut с ботнетом, который Google и исследователи называют «Popa». По данным GTIG, Popa включал ориентировочно ~2 млн скомпрометированных устройств — смесь Android-телефонов, смарт-ТВ и стриминговых приставок.
Именно способ заражения отличает это от легального прокси-пула на основе согласия. По сообщениям, устройства подключались через троянизированные приложения, встроенные SDK и плагины в стиле Badbox 2.0 — часто без ведома и согласия владельца. То есть «residential» IP-адреса, доступ к которым покупали клиенты, нередко принадлежали обычным людям, чьё оборудование было тайно завербовано.
Проблема согласия — этический и юридический центр истории. Прокси-сеть, пропускающая коммерческий трафик через устройства ничего не подозревающих жертв, категорически отличается от сети на основе оплаченного и раскрытого участия по согласию.
Масштаб и последствия#
Google привела конкретную оценку злоупотреблений. За одну неделю июня 2026 года GTIG, по её словам, зафиксировала 316 отдельных кластеров угроз, использовавших предполагаемые выходные узлы NetNut. Приписанная им вредоносная активность включала password spraying, credential stuffing, рекламный фрод и масштабный сбор данных, а часть активности соответствовала шпионажу.
Вместе с пулом в ~2 млн устройств складывается картина сети, «residential»-легитимность которой, согласно выводам Google, была глубоко скомпрометирована — и в способе получения IP, и в том, чем занималась значительная часть трафика.
Меры Google и ФБР#
По данным Google, её меры вышли за рамки изъятия доменов правоохранителями:
- Отключены аккаунты и сервисы Google, использовавшиеся для command-and-control.
- Обновлён Google Play Protect — он предупреждает пользователей и отключает приложения, содержащие связанные с NetNut SDK.
- Переданы технические индикаторы ФБР, IRS-CI, Lumen, Shadowserver и другим партнёрам для расширения операции.
Сторона ФБР и IRS-CI сосредоточилась на изъятии доменов и публичных уведомлениях. Такое разделение — платформенные меры от Google, изъятия по уголовной процедуре от государства — характерно для современных операций против прокси и ботнетов.
Что это значит для покупателей прокси#
Если вы покупаете residential-прокси, действие против NetNut несёт несколько конкретных уроков, а не повод для паники.
Во-первых, «residential» не гарантирует согласия. Google прямо предупредила, что экосистема residential-прокси устойчива, потому что операторы восстанавливаются, перепродавая мощности конкурентов, и заявила, что «многие популярные бренды residential-прокси на деле являются whitelabel ботнета NetNut». Это общее предупреждение об экосистеме — не обвинение в адрес конкретного названного бренда, и не стоит воспринимать его так без источника, называющего этот бренд.
Во-вторых, важна проверка источников. Спросите поставщика, как residential-устройства попадают в сеть, на что соглашаются пользователи, как они получают компенсацию и как отказываются. Продавец, который не может ответить внятно, — это риск независимо от маркетинга.
В-третьих, если вы были клиентом NetNut, отнеситесь к этому как к событию надёжности и комплаенса: сохраните счета и переписку, смените повторно использованные пароли и API-ключи и не считайте, что доступ, который сегодня работает, стабилен или что его стоит продолжать использовать.
Что делать сейчас: легальные альтернативы#
Конструктивный шаг — переход к поставщикам, которые могут внятно говорить о согласии и источниках. Мы не рекомендуем покупать NetNut.
Раскрытие: ProxyUniverse — коммерческий партнёр публикации. Панель объединяет residential-, mobile- и dedicated IPv4-продукты разных брендов в одном кабинете. Коммерческое упоминание не доказывает происхождение адресов конкретного продукта, и — что важно — предупреждение Google о whitelabel является причиной проверять источники у любого residential-продавца, в том числе через реселлера. Сначала протестируйте небольшой объём, проверьте протоколы, геолокацию, точность ASN и поведение сессий и запросите подтверждения о том, как построен пул, прежде чем вкладывать бюджет.
Если вы используете браузерные профили вместе с прокси, при миграции держите этот слой отдельно; обзор Dolphin Anty посвящён ему. Общие критерии выбора — в нашем гайде по дешёвым residential-прокси. NetNut мы также отслеживаем напрямую на странице провайдера NetNut и странице статуса.
Связь с волной изъятий IPIDEA#
Действие против NetNut не единично. Оно опирается на январскую операцию 2026 года против сети residential-прокси IPIDEA — гражданско-техническую операцию под руководством Google, назвавшую кластер whitelabel-брендов. Google описала экосистему как устойчивую именно потому, что операторы переиспользуют мощности друг друга; поэтому вторая крупная сеть была нейтрализована спустя всего несколько месяцев после первой.
Мы подробно освещали волну IPIDEA, включая бренды, которые Google связала с этой сетью:
Вместе операции против IPIDEA и NetNut описывают продолжительную кампанию 2026 года против питаемых ботнетами поставок residential-прокси.
Частые вопросы#
NetNut изъят или не работает?#
В начале июля 2026 года ФБР и IRS-CI разместили уведомление об изъятии на netnut.com (а позже на alarum.io), и сеть была нарушена вместе с ботнетом Popa. Однако, по сообщениям, коммерческий домен netnut.io какое-то время оставался доступен, поэтому «полностью отключён везде» — неточно. Корректно: NetNut изъят и нарушен, а материнская компания под давлением правоохранителей.
Кто управляет NetNut?#
NetNut управляется Alarum Technologies Ltd. (Nasdaq: ALAR), израильской публичной компанией, акции которой за неделю операции упали примерно на 67%, до около $2,62 по данным Krebs on Security.
Что такое ботнет Popa?#
По данным Google Threat Intelligence Group, Popa — ботнет из ориентировочно ~2 млн скомпрометированных устройств (Android-телефоны, смарт-ТВ и стриминговые приставки), подключённых через троянизированные приложения, встроенные SDK и плагины в стиле Badbox 2.0, часто без согласия пользователей, и использовавшихся как выходные узлы NetNut.
Google назвала конкретных «безопасных» или «опасных» конкурентов?#
Google дала общее предупреждение, что многие бренды residential-прокси являются whitelabel ботнета NetNut и что экосистема восстанавливается перепродажей мощностей. В приведённых здесь материалах она не называла конкретного конкурента вредоносным; не делаем этого и мы.
Что делать клиентам NetNut?#
Отнеситесь как к событию надёжности и комплаенса: сохраните платёжные документы, смените повторно используемые пароли и API-ключи, не полагайтесь на доступ, который ещё работает, и оцените легальные альтернативы с прозрачным согласием и источниками.
Источники#
Журнал обновлений#
- 2–3 июля 2026: Google/ФБР/IRS-CI/Lumen/Shadowserver раскрывают скоординированную операцию против NetNut; на
netnut.com появляется уведомление об изъятии от ФБР и IRS.
- Неделя 2 июля: акции Alarum (ALAR) падают примерно на 67%, до около $2,62; позже уведомление появляется на
alarum.io; netnut.io, по сообщениям, какое-то время ещё доступен.
- 8 июля: обновление Krebs on Security раскрывает детали ботнета («Popa», ~2 млн устройств) и влияние на акции.