Wat er werd ontmanteld
Op 2 juli 2026 trad Googles Threat Intelligence Group, samen met de FBI, Lumen, de Shadowserver Foundation en de IRS Criminal Investigation, op tegen NetNut, een residentieel proxynetwerk dat Google ook volgt als Popa en schat op minstens 2 miljoen apparaten wereldwijd. Google schakelde de accounts en diensten uit die het netwerk voor commando en controle gebruikte, deelde technische details over de verborgen SDK's met platformaanbieders en onderzoekers en werkte Play Protect bij om gebruikers te waarschuwen en apps met die code uit te schakelen. De FBI nam honderden domeinen in beslag, waaronder netnut.com, waar nu een federale inbeslagnamebanner staat. Onderzoek van Krebs on Security koppelt de dienst aan Alarum Technologies, een aan de Nasdaq genoteerd bedrijf, waarvan de advocaat verklaarde dat het de zaak serieus neemt en volledig zal meewerken met de autoriteiten. Het is de tweede actie van dit soort dit jaar, na het IPIDEA-netwerk in januari, en volgens Google heeft de ontmanteling het beschikbare apparatenbestand al met miljoenen verkleind.
Het einde van het verdachte IP-adres
Een residentieel proxynetwerk verhuurt gewone thuisverbindingen, zodat het verkeer van een aanvaller aankomt met het adres van een huiskamer in plaats van een buitenlands datacenter. Precies daarom verkoopt het. In een week in juni telde Google 316 verschillende dreigingsgroepen, crimineel en statelijk, die vermoedelijke NetNut-uitgangen gebruikten om hun herkomst te verhullen, password spraying uit te voeren en soms vanuit de proxysoftware door te dringen tot andere apparaten in hetzelfde thuisnetwerk. Voor een Nederlands bedrijf breekt dit een stille aanname die in tien jaar beveiligingstooling is ingebakken: dat riskant verkeer er riskant uitziet. Wanneer de inlogpoging op uw accounts van een woonadres in eigen land komt, slaan geoblokkades en IP-reputatielijsten niet aan. De maatregelen die nog wel werken, zijn de maatregelen die adressen nooit hebben vertrouwd: overal meerfactorauthenticatie, limieten per account in plaats van per IP en alarmen op gedrag in plaats van herkomst.
Uw apparaten zijn de handelswaar
De andere helft van het verhaal is waar die 2 miljoen uitgangen vandaan kwamen: software die al voor aankoop op merkloze smart-tv's en streamingboxen stond, en SDK's verstopt in apps die ontwikkelaars betalen voor uw ongebruikte bandbreedte. De eigenaar van het apparaat weet zelden dat hij infrastructuur is geworden, maar het is zijn adres dat in de logboeken van het slachtoffer opduikt. Dat maakt de aanschaf van apparaten een beveiligingsmaatregel in plaats van een consumentenvoorkeur, in lijn met wat het NCSC over de hygiëne van het verbonden huis adviseert: gecertificeerde apparaten van serieuze fabrikanten, apps alleen uit officiële winkels en een hard nee tegen alles wat geld biedt voor het delen van internet. Het plaatst ook de actie zelf in het juiste licht. Handhaving verschuift van het arresteren van individuele aanvallers naar het ontmantelen van de grijze infrastructuurmarkten die zij huren, en deze draaide volgens onderzoekers binnen een beursgenoteerd bedrijf. Wanneer misdaad meelift op massainfrastructuur, beschermt de onopvallende discipline: weten wat er in uw netwerk hangt en aannemen dat een adres niets bewijst.
Lees hierna: Een teruggetrokken frontier-model is weer online · Jouw AI-agent vertrouwt een vergiftigd tool



