
Google 聯同 FBI 打 NetNut:你屋企 IP 點解會變代理出口
住宅代理服務有正常用途,但今次焦點係隱藏 SDK 同家用裝置濫用
Google 今次打嘅係供應鏈
iThome 報道,Google 7 月初聯同 FBI、Lumen 等單位,對大型住宅代理網絡 NetNut 採取行動。Google 自己嘅講法係,今次目標係 NetNut,亦即佢哋稱為 Popa 嘅住宅代理網絡;估計最少牽涉全球 200 萬部家用連網裝置,當中包括 Smart TV、串流盒呢類長期插電、長期上網、平時又少人理嘅裝置。Google 話 Play Protect 已經會警告受影響用戶,亦會停用已知內含 NetNut SDK 嘅 app;Lumen 旗下 Black Lotus Labs 就話,今次行動入面佢哋 null-route 咗接近 300 個 Popa C2 節點。

圖片:Google Cloud
住宅代理其實係咩
住宅代理唔係新概念,簡單講就係有人租用一批真實家居 IP,令自己嘅連線睇落似由普通住戶或者小公司發出,唔似 data center server。廣告驗證、地區化測試、反詐騙研究都會用到呢類服務;但同一套工具落到攻擊者手上,就可以用嚟避開風控、撞密碼、開假帳戶、爬資料,甚至扮成普通住戶去連公司系統。FBI 3 月個 PSA 都講得直接:受害裝置可以係串流盒、數碼相架、手機、平板、router,入口可以係 SDK、免費 VPN、惡意 app,或者「分享屋企上網線賺錢」呢類計劃。
點解 Google 要同 FBI 一齊郁手
今次值得留意嘅位係,Google 明講住宅代理市場有白牌同轉售,問題唔止 NetNut 一個品牌:你買 A 品牌,背後可能其實係 B 品牌嘅同一批出口節點。Google 話 2026 年 6 月單一個星期內,GTIG 觀察到 316 個威脅群組用疑似 NetNut exit node,包括犯罪同間諜活動;佢哋會用呢啲出口隱藏來源 IP、連自己基建,或者做 password spray。呢種玩法嘅麻煩位係,防守方睇 log 時,見到嘅 IP 可能唔係 VPS 或雲端 server,可能只係一條正常住宅寬頻線。
NetNut 呢個名字要講清楚
亦要講清楚,住宅代理服務本身唔一定犯法,市場上真係有公司用嚟做價格監察、廣告測試、地區化內容檢查。關鍵係流量來源同用戶有冇真正同意:裝置主人知唔知?app 有冇清楚講明會長期轉送陌生人流量?有冇擋住內聯網位址,防止外面客戶掃到 router、NAS、cam 或公司電腦?KrebsOnSecurity 報道指,NetNut 背後營運方係以色列上市公司 Alarum Technologies;Alarum 律師回覆話公司知道 FBI 扣押域名行動,會配合執法同調查基建有冇俾濫用。呢點要同 Google、Lumen 對 Popa 同 NetNut 關係嘅判斷分開睇。
香港屋企同小公司點受影響
香港暫時未見官方數字,亦冇名單話本地有幾多部裝置中招,所以唔好寫到成個市場已經失守。不過香港屋企同小公司嘅實際環境,好啱呢類代理生意寄生:router、NAS、IP cam、Android TV box、舊 Android 手機、平價投影機、打卡機,全部都可能長插電又冇人更新。你屋企 IP 一旦俾人用嚟撞帳戶或者掃站,網購、銀行、公司 VPN 登入有機會突然俾風控加驗證,IT 部門亦可能見到員工家居 IP 出現奇怪告警。
可以點樣檢查
做法唔使太玄。先打開 router 個 client list,睇有冇唔識嘅 TV box、cam、手機、IoT 裝置長期連住;再逐部更新 firmware,同刪走來歷唔明嘅 VPN、proxy、免費串流、screensaver app。Android 裝置要開 Google Play Protect,TV box 就睇清楚係咪官方 Android TV OS 同有冇 Play Protect certification;冇牌子、冇更新、仲要 sideload app 先用到嘅盒,最好直接隔離去 guest Wi-Fi,嚴重啲就拔線換走。NAS 同 cam 就關 remote admin、UPnP 同唔用嘅 port forwarding,管理員密碼同 2FA 亦要重整。
下一步睇咩
Google 今次停帳號、拆 C2、用 Play Protect 擋 app,短期會令 NetNut/Popa 出口池縮水;但 Google 自己都講,呢個市場有轉售同白牌,單點拆完之後,營運者可能買對手流量返嚟補位。接住要睇兩件事:FBI 扣押域名之後有幾多後端 server 真係停咗,同埋大型 app store、Smart TV 平台、ISP 會唔會開始要求 proxy SDK 用更清楚嘅同意流程同本地網段隔離。屋企同小公司要做嘅就係減少長期上線但冇人管理嘅裝置,因為呢啲最容易變成其他人嘅出口。
參考來源
- iThome — Google與FBI打擊NetNut常駐代理網路,涉及至少200萬臺家用連網裝置 — original report
- Google Cloud Blog:Google’s Continued Disruption of Malicious Residential Proxy Networks — primary source,確認 Google 參與行動、200 萬裝置估算、316 個 threat clusters 同 Play Protect 措施。
- FBI PSA:Evading Residential Proxy Networks — 解釋 residential proxy 係咩、裝置點樣入網、犯罪用途同保護建議。
- Black Lotus Labs:Maintaining the Pressure on Malicious Proxies — Lumen 旗下 Black Lotus Labs 官方講法,補到 null-route 接近 300 個 C2 節點同 Popa 基建觀察。
- KrebsOnSecurity:FBI Seizes NetNut Proxy Platform, Popa Botnet — 補 FBI 扣押域名、Alarum 回應、NetNut 同 Popa 爭議背景。
- Spur:Nearly Half of LG Smart TV Apps Contain Residential Proxy SDKs — Smart TV app proxy SDK 背景研究,支撐本文對客廳裝置風險嘅延伸。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







