Tin tức

NetNut có bị tịch thu? Bên trong chiến dịch FBI + Google chống botnet Popa

Đầu tháng 7/2026, FBI, IRS-CI và Google đã làm gián đoạn NetNut, một trong những mạng residential proxy lớn nhất, và liên hệ nó với botnet Popa (~2 triệu thiết bị). Đây là các dữ kiện đã xác minh, nguồn và việc người dùng nên làm.

By Ban biên tập ProxyRadar

Ngôn ngữ khác: English · Русский · বাংলা · Indonesia

Trạng thái kiểm tra ngày 12/7/2026: Thông báo tịch thu chung của FBI và IRS Criminal Investigation xuất hiện trên netnut.com (sau đó là alarum.io) sau một chiến dịch phối hợp công bố ngày 2–3/7/2026. Báo cáo cho biết tên miền thương mại chính của NetNut, netnut.io, vẫn truy cập được một thời gian. Vì vậy "NetNut đã biến mất" là phóng đại; mô tả chính xác là "NetNut đã bị gián đoạn và công ty mẹ đang chịu áp lực từ cơ quan thực thi pháp luật."

NetNut — một trong những mạng residential proxy thương mại lớn nhất thế giới — đã bị một chiến dịch phối hợp của cơ quan thực thi pháp luật và ngành xử lý vào đầu tháng 7/2026. Theo Google Threat Intelligence Group (GTIG) và báo cáo của Krebs on Security, chiến dịch kết hợp việc tịch thu hạ tầng theo thủ tục hình sự với việc vô hiệu hóa kỹ thuật botnet nền tảng. Đây là câu chuyện diễn biến nhanh, nên các phần dưới tách phần có nguồn chắc chắn khỏi phần còn tranh cãi.

Chuyện gì đã xảy ra

Khoảng ngày 2–3/7/2026, GTIG của Google, cùng FBI, bộ phận IRS Criminal Investigation của Mỹ, Lumen (Black Lotus Labs) và Shadowserver Foundation, đã thực hiện một chiến dịch phối hợp nhắm vào NetNut, theo blog Google Cloud Threat Intelligence và các báo cáo an ninh sau đó.

Trong khuôn khổ hành động, FBI đã tịch thu hàng trăm tên miền liên quan. Thông báo tịch thu chung FBI + IRS được đặt trên netnut.com, và một thông báo tương tự sau đó xuất hiện trên alarum.io. Đáng chú ý, báo cáo của Krebs on Security cho biết tên miền hướng khách hàng chính của NetNut, netnut.io, vẫn truy cập được một thời gian sau khi các banner tịch thu xuất hiện — một chi tiết đáng lưu ý vì cho thấy việc gián đoạn không phải là đóng cửa tức thời và trọn vẹn mọi tài sản.

Mô tả đúng nhất là tịch thu và gián đoạn có phối hợp, không phải sự cố thường. Khác với hỏng hạ tầng, ở đây có các cơ quan được nêu tên, banner tịch thu công khai và một chiến dịch kỹ thuật chống botnet cấp nguồn cho mạng proxy.

NetNut và Alarum là ai

NetNut do Alarum Technologies Ltd. vận hành, một công ty đại chúng của Israel niêm yết trên Nasdaq với mã ALAR. Alarum tiếp thị NetNut như nhà cung cấp residential và rotating proxy cấp doanh nghiệp cho thu thập dữ liệu, xác minh quảng cáo và bảo vệ thương hiệu.

Phản ứng thị trường rất mạnh. Theo cập nhật ngày 8/7 của Krebs on Security, cổ phiếu Alarum giảm khoảng 67% trong tuần, giao dịch quanh $2,62/cổ phiếu. Mức giảm như vậy ở một công ty niêm yết tự nó cho thấy nhà đầu tư coi hành động này là trọng yếu chứ không thường lệ.

Cần chính xác: thông báo tịch thu công khai và cú lao dốc cổ phiếu chứng minh mảng NetNut là mục tiêu và bị gián đoạn nặng. Bản thân chúng không định đoạt kết quả các thủ tục pháp lý tương lai. Hãy đưa tin hành động thực thi như một dữ kiện; coi câu hỏi về trách nhiệm pháp lý cuối cùng là chưa ngã ngũ.

Botnet "Popa" và cách thiết bị bị nhiễm

Cốt lõi vụ việc là mối liên hệ giữa NetNut và một botnet mà Google và các nhà nghiên cứu gọi là "Popa." Theo GTIG, Popa gồm ước tính ~2 triệu thiết bị bị xâm nhập — pha trộn điện thoại Android, smart TV và hộp streaming.

Chính con đường lây nhiễm khiến nó khác với một pool proxy hợp pháp dựa trên sự đồng thuận. Theo báo cáo, thiết bị được thu nạp qua ứng dụng bị chèn trojan, SDK đóng gói và plugin kiểu Badbox 2.0 — thường không có sự hay biết hoặc đồng ý của chủ sở hữu. Nói cách khác, các địa chỉ IP "residential" mà khách hàng mua quyền truy cập thường thuộc về người bình thường có thiết bị bị âm thầm trưng dụng.

Vấn đề đồng thuận này là trọng tâm đạo đức và pháp lý của câu chuyện. Một mạng proxy định tuyến lưu lượng thương mại qua thiết bị của nạn nhân vô tình khác hẳn với mạng dựa trên sự tham gia có trả công và được công bố.

Quy mô và tác động

Google đưa ra một thước đo cụ thể. Trong một tuần vào tháng 6/2026, GTIG nói đã quan sát 316 cụm mối đe dọa riêng biệt dùng các node thoát nghi là của NetNut. Hoạt động độc hại gồm password spraying, credential stuffing, gian lận quảng cáo và scraping dữ liệu quy mô lớn, với một phần hoạt động phù hợp với hoạt động gián điệp.

Kết hợp với pool ~2 triệu thiết bị, bức tranh là một mạng mà tính "residential" hợp pháp, theo phát hiện của Google, đã bị tổn hại sâu — cả trong cách lấy IP lẫn trong việc phần lớn lưu lượng đang làm gì.

Biện pháp của Google và FBI

Theo Google, các biện pháp vượt ra ngoài việc tịch thu tên miền do cơ quan thực thi thực hiện:

  • Vô hiệu hóa tài khoản và dịch vụ Google dùng cho command-and-control.
  • Cập nhật Google Play Protect để cảnh báo người dùng và vô hiệu hóa ứng dụng chứa SDK liên quan NetNut.
  • Chia sẻ tình báo kỹ thuật với FBI, IRS-CI, Lumen, Shadowserver và các đối tác khác.

Phần của FBI và IRS-CI tập trung vào tịch thu tên miền và các thông báo công khai. Sự phân vai này — biện pháp nền tảng từ Google, tịch thu theo thủ tục hình sự từ chính phủ — phản ánh cách các chiến dịch chống proxy và botnet hiện đại thường được thực hiện.

Điều này nghĩa gì với người mua proxy

Nếu bạn mua residential proxy, vụ NetNut mang lại vài bài học cụ thể chứ không phải hoảng loạn.

Thứ nhất, "residential" không bảo đảm sự đồng thuận. Google cảnh báo rõ hệ sinh thái residential proxy bền bỉ vì các nhà vận hành tái xây dựng bằng cách bán lại năng lực của đối thủ, và tuyên bố "nhiều thương hiệu residential proxy phổ biến thực chất đang whitelabel botnet NetNut." Đó là cảnh báo chung về hệ sinh thái — không phải cáo buộc nhắm vào một thương hiệu cụ thể nào, và bạn không nên hiểu như vậy nếu không có nguồn nêu tên thương hiệu đó.

Thứ hai, thẩm định nguồn gốc rất quan trọng. Hãy hỏi nhà cung cấp cách thiết bị residential tham gia mạng, người dùng đồng ý điều gì, được đền bù ra sao và cách chọn rút lui. Một nhà cung cấp không trả lời rõ là rủi ro, bất kể quảng cáo.

Thứ ba, nếu bạn là khách hàng NetNut, hãy coi đây là sự kiện về độ tin cậy và tuân thủ: lưu hóa đơn và trao đổi, đổi mọi thông tin đăng nhập và khóa API dùng lại, và đừng cho rằng quyền truy cập hôm nay còn chạy là ổn định hay nên tiếp tục dùng.

Nên làm gì bây giờ: các lựa chọn hợp pháp

Bước xây dựng là chuyển sang các nhà cung cấp có thể nói đáng tin về sự đồng thuận và nguồn gốc. Chúng tôi không khuyến nghị bất kỳ ai mua NetNut.

Công bố: ProxyUniverse là đối tác thương mại của ấn phẩm này. Nó tổng hợp các sản phẩm residential, mobile và dedicated IPv4 từ nhiều thương hiệu trong một bảng điều khiển. Việc nhắc đến mang tính thương mại không chứng minh thực hành nguồn gốc của bất kỳ nhà cung cấp nào, và — quan trọng — cảnh báo whitelabel của Google là lý do để xác minh nguồn gốc cho bất kỳ nhà cung cấp residential nào, kể cả qua reseller. Hãy thử một khối lượng nhỏ trước, xác nhận giao thức, định vị địa lý, độ chính xác ASN và hành vi phiên, và yêu cầu bằng chứng về cách pool được xây dựng trước khi chi ngân sách.

Nếu bạn chạy hồ sơ trình duyệt cùng proxy, hãy giữ lớp đó tách biệt khi di chuyển; tổng quan Dolphin Anty bàn về nó. Về tiêu chí lựa chọn rộng hơn, xem hướng dẫn residential proxy giá rẻ của chúng tôi. NetNut cũng là mạng chúng tôi theo dõi trực tiếp trên trang nhà cung cấp NetNuttrang trạng thái.

Liên hệ với làn sóng tịch thu IPIDEA

Vụ NetNut không đứng một mình. Nó tiếp nối việc làm gián đoạn mạng residential proxy IPIDEA hồi tháng 1/2026 — một chiến dịch dân sự và kỹ thuật do Google dẫn dắt, nêu tên một cụm thương hiệu whitelabel. Google mô tả hệ sinh thái là bền bỉ chính vì các nhà vận hành tái sử dụng năng lực của nhau; đó là lý do mạng lớn thứ hai bị gián đoạn chỉ vài tháng sau mạng đầu.

Chúng tôi đã đưa tin chi tiết về làn sóng IPIDEA, gồm các thương hiệu mà Google liên hệ với mạng đó:

Đọc cùng nhau, các vụ IPIDEA và NetNut mô tả một chiến dịch kéo dài của năm 2026 chống lại nguồn cung residential proxy do botnet nuôi dưỡng.

Câu hỏi thường gặp

NetNut có down hay bị tịch thu?

Đầu tháng 7/2026, FBI và IRS-CI đặt thông báo tịch thu trên netnut.com (sau đó alarum.io), và mạng bị gián đoạn cùng botnet Popa. Tuy nhiên báo cáo cho biết tên miền thương mại netnut.io vẫn truy cập được một thời gian, nên "offline hoàn toàn ở mọi nơi" là không chính xác. Chính xác: NetNut bị tịch thu và gián đoạn, công ty mẹ chịu áp lực thực thi pháp luật.

Ai vận hành NetNut?

NetNut do Alarum Technologies Ltd. (Nasdaq: ALAR) vận hành, một công ty đại chúng Israel có cổ phiếu giảm khoảng 67% trong tuần xảy ra hành động, còn khoảng $2,62 theo Krebs on Security.

Botnet Popa là gì?

Theo GTIG của Google, Popa là botnet ước tính ~2 triệu thiết bị bị xâm nhập (điện thoại Android, smart TV, hộp streaming), thu nạp qua ứng dụng trojan, SDK đóng gói và plugin kiểu Badbox 2.0, thường không có sự đồng ý, và dùng để cấp node thoát cho NetNut.

Google có nêu tên đối thủ an toàn/không an toàn cụ thể không?

Google đưa ra cảnh báo chung rằng nhiều thương hiệu residential proxy whitelabel botnet NetNut và hệ sinh thái tái xây dựng bằng cách bán lại năng lực. Trong tài liệu được trích ở đây, Google không gán một đối thủ cụ thể là độc hại; chúng tôi cũng vậy.

Khách hàng NetNut nên làm gì?

Coi đây là sự kiện độ tin cậy và tuân thủ: lưu hồ sơ thanh toán, đổi thông tin đăng nhập và khóa API dùng lại, đừng phụ thuộc vào quyền truy cập còn chạy, và đánh giá các lựa chọn hợp pháp có thực hành đồng thuận và nguồn gốc rõ ràng.

Nguồn

Nhật ký cập nhật

  • 2–3/7/2026: Google/FBI/IRS-CI/Lumen/Shadowserver công bố chiến dịch phối hợp chống NetNut; thông báo tịch thu FBI+IRS xuất hiện trên netnut.com.
  • Tuần 2/7: cổ phiếu Alarum (ALAR) giảm ~67%, còn khoảng $2,62; sau đó thông báo xuất hiện trên alarum.io; netnut.io được cho là vẫn truy cập được một thời gian.
  • 8/7: cập nhật của Krebs on Security nêu chi tiết botnet ("Popa", ~2 triệu thiết bị) và tác động cổ phiếu.

Hướng dẫn liên quan

NetNut bị tịch thu: chiến dịch FBI + Google chống botnet Popa | ProxyRadar