Cosa è stato smantellato

Il 2 luglio 2026 il Threat Intelligence Group di Google, insieme a FBI, Lumen, Shadowserver Foundation e IRS Criminal Investigation, è intervenuto contro NetNut, una rete di proxy residenziali che Google traccia anche come Popa e stima in non meno di 2 milioni di dispositivi nel mondo. Google ha disattivato gli account e i servizi usati dalla rete per il comando e controllo, ha condiviso i dettagli tecnici dei suoi SDK nascosti con piattaforme e ricercatori e ha aggiornato Play Protect per avvisare gli utenti e disattivare le app con quel codice. L'FBI ha sequestrato centinaia di domini, tra cui netnut.com, che oggi mostra un banner federale di sequestro. Le indagini di Krebs on Security collegano il servizio ad Alarum Technologies, società quotata al Nasdaq, il cui legale ha dichiarato che l'azienda prende la questione sul serio e coopererà pienamente con le autorità. È la seconda azione del genere quest'anno, dopo la rete IPIDEA a gennaio, e secondo Google l'operazione ha già ridotto di milioni il parco dispositivi disponibile.

La fine dell'IP sospetto

Una rete di proxy residenziali affitta comuni connessioni domestiche, così il traffico dell'attaccante arriva con l'indirizzo del salotto di una famiglia invece che di un data center straniero. È esattamente per questo che si vende. In una settimana di giugno Google ha contato 316 gruppi ostili distinti, criminali e di spionaggio, che usavano presunte uscite NetNut per nascondere la provenienza, condurre password spraying e, in alcuni casi, passare dal software proxy ad altri dispositivi della stessa rete domestica. Per un'impresa italiana questo rompe un'assunzione silenziosa incorporata in un decennio di strumenti di sicurezza: che il traffico rischioso sembri rischioso. Quando il tentativo di accesso ai vostri account arriva da un indirizzo residenziale del vostro stesso Paese, blocchi geografici e liste di reputazione IP non scattano. Funzionano i controlli che non si sono mai fidati degli indirizzi: autenticazione a più fattori ovunque, limiti per account anziché per IP e allarmi sul comportamento invece che sull'origine.

I vostri dispositivi sono la merce

L'altra metà della storia è da dove venivano quei 2 milioni di uscite: software preinstallato su smart TV e box di streaming senza marca prima dell'acquisto, e SDK nascosti in app che pagano gli sviluppatori per la vostra banda inutilizzata. Il proprietario del dispositivo raramente sa di essere diventato infrastruttura, eppure nei log della vittima compare il suo indirizzo. Questo rende l'acquisto dei dispositivi un controllo di sicurezza, non una preferenza di consumo, in linea con le raccomandazioni dell'ACN sull'igiene della casa connessa: apparecchi certificati di produttori seri, app solo dagli store ufficiali e un no netto a tutto ciò che offre denaro per condividere internet. Rimette anche nella giusta luce l'operazione stessa. Le forze dell'ordine si stanno spostando dall'arresto dei singoli attaccanti allo smontaggio dei mercati grigi di infrastruttura che essi affittano, e questo, notano i ricercatori, girava dentro una società quotata. Quando il crimine viaggia su infrastruttura di massa, protegge la disciplina senza lustrini: sapere cosa c'è nella propria rete e assumere che un indirizzo non provi nulla.