Vad som stängdes ner

Den 2 juli 2026 agerade Googles Threat Intelligence Group tillsammans med FBI, Lumen, Shadowserver Foundation och IRS Criminal Investigation mot NetNut, ett residentiellt proxynätverk som Google även spårar som Popa och uppskattar till minst 2 miljoner enheter världen över. Google stängde av de konton och tjänster nätverket använde för kommando och kontroll, delade tekniska detaljer om de dolda SDK:erna med plattformsleverantörer och forskare och uppdaterade Play Protect så att användare varnas och appar med koden inaktiveras. FBI beslagtog hundratals domäner, däribland netnut.com, som i dag visar en federal beslagsbanner. Granskning av Krebs on Security knyter tjänsten till Alarum Technologies, ett bolag noterat på Nasdaq, vars ombud uppgav att bolaget tar saken på allvar och kommer att samarbeta fullt ut med myndigheterna. Det är årets andra insats av det slaget efter IPIDEA-nätverket i januari, och enligt Google har nedstängningen redan minskat den tillgängliga enhetspoolen med miljoner.

Slutet för den misstänkta IP-adressen

Ett residentiellt proxynätverk hyr ut vanliga hemuppkopplingar, så att angriparens trafik anländer med adressen från en familjs vardagsrum i stället för ett utländskt datacenter. Just därför säljer det. Under en vecka i juni räknade Google till 316 skilda hotgrupper, kriminella såväl som statsnära, som använde misstänkta NetNut-utgångar för att dölja sitt ursprung, köra lösenordssprejning och i vissa fall ta sig vidare från proxyprogramvaran till andra enheter i samma hemmanätverk. För ett svenskt företag bryter det ett tyst antagande som gjutits in i ett decennium av säkerhetsverktyg: att farlig trafik ser farlig ut. När inloggningsförsöket mot era konton kommer från en bostadsadress i det egna landet reagerar varken geoblockering eller IP-ryktelistor. De skydd som fortfarande fungerar är de som aldrig litade på adresser: multifaktorautentisering överallt, begränsning per konto i stället för per IP och larm på beteende i stället för ursprung.

Era enheter är varan

Den andra halvan av historien är varifrån dessa 2 miljoner utgångar kom: programvara som förinstallerats på märkeslösa smart-tv och streamingboxar före köpet, och SDK:er gömda i appar som betalar utvecklarna för er oanvända bandbredd. Enhetens ägare vet sällan att den blivit infrastruktur, men det är ägarens adress som dyker upp i offrets loggar. Det gör inköp av enheter till en säkerhetskontroll, inte en konsumentpreferens, i linje med vad CERT-SE rekommenderar om det uppkopplade hemmets hygien: certifierade enheter från seriösa tillverkare, appar bara från officiella butiker och ett hårt nej till allt som erbjuder pengar för att dela internet. Det sätter också själva insatsen i rätt ljus. Bekämpningen flyttar sig från att gripa enskilda angripare till att montera ner de grå infrastrukturmarknader de hyr in sig på, och den här drevs, noterar forskarna, inom ett börsnoterat bolag. När brottslighet åker snålskjuts på massinfrastruktur är det den glanslösa disciplinen som skyddar: att veta vad som sitter i det egna nätverket och utgå från att en adress inte bevisar någonting.