Hvad der blev lukket

Den 2. juli 2026 skred Googles Threat Intelligence Group sammen med FBI, Lumen, Shadowserver Foundation og IRS Criminal Investigation ind mod NetNut, et residentielt proxynetværk, som Google også følger under navnet Popa og vurderer til mindst 2 millioner enheder på verdensplan. Google deaktiverede de konti og tjenester, netværket brugte til kommando og kontrol, delte tekniske detaljer om de skjulte SDK'er med platformsudbydere og forskere og opdaterede Play Protect, så brugere advares og apps med koden slås fra. FBI beslaglagde hundredvis af domæner, herunder netnut.com, der i dag viser et føderalt beslaglæggelsesbanner. Research fra Krebs on Security knytter tjenesten til Alarum Technologies, et selskab noteret på Nasdaq, hvis advokat udtalte, at man tager sagen alvorligt og vil samarbejde fuldt ud med myndighederne. Det er årets anden aktion af den slags efter IPIDEA-netværket i januar, og ifølge Google har nedlukningen allerede skåret millioner af enheder af den tilgængelige pulje.

Enden på den mistænkelige IP-adresse

Et residentielt proxynetværk udlejer almindelige private internetforbindelser, så angriberens trafik ankommer med adressen fra en families stue i stedet for et udenlandsk datacenter. Netop derfor sælger det. På en uge i juni talte Google 316 forskellige trusselsgrupper, kriminelle såvel som statslige, der brugte formodede NetNut-udgange til at sløre deres oprindelse, køre password spraying og i nogle tilfælde bevæge sig fra proxysoftwaren videre til andre enheder på samme hjemmenetværk. For en dansk virksomhed bryder det en stille antagelse, der er støbt ind i et årtis sikkerhedsværktøjer: at farlig trafik ser farlig ud. Når loginforsøget mod Deres konti kommer fra en privatadresse i Deres eget land, reagerer geoblokering og IP-omdømmelister ikke. De kontroller, der stadig virker, er dem, der aldrig stolede på adresser: multifaktorgodkendelse overalt, begrænsning pr. konto frem for pr. IP og alarmer på adfærd frem for oprindelse.

Deres enheder er varen

Den anden halvdel af historien er, hvor de 2 millioner udgange kom fra: software, der var installeret på no-name smart-tv og streamingbokse allerede før købet, og SDK'er gemt i apps, der betaler udviklerne for Deres ubrugte båndbredde. Ejeren af enheden ved sjældent, at den er blevet infrastruktur, men det er ejerens adresse, der dukker op i ofrets logfiler. Det gør indkøb af enheder til en sikkerhedskontrol, ikke en forbrugerpræference, helt i tråd med Center for Cybersikkerheds råd om det forbundne hjem: certificerede enheder fra seriøse producenter, apps kun fra officielle butikker og et hårdt nej til alt, der tilbyder penge for at dele internet. Det sætter også selve aktionen i det rette lys. Håndhævelsen flytter sig fra at anholde enkelte angribere til at skille de grå infrastrukturmarkeder ad, som de lejer sig ind på, og dette, bemærker forskerne, kørte inde i et børsnoteret selskab. Når kriminalitet rider på masseinfrastruktur, er det den glansløse disciplin, der beskytter: at vide, hvad der hænger på ens netværk, og gå ud fra, at en adresse intet beviser.