Dein alter Smart-TV im Wohnzimmer könnte im Hintergrund für Kriminelle arbeiten. Nicht zum Ausspionieren, sondern als Sprungbrett für Angriffe auf andere. Das klingt weit hergeholt, ist aber genau das, was das Residential-Proxy-Netzwerk NetNut ermöglicht hat. Nach monatelangen Ermittlungen haben Google, das FBI, Lumen und andere Partner die Infrastruktur von NetNut massiv gestört. Der Schlag traf ein Netzwerk mit geschätzt zwei Millionen Geräten – vorwiegend kleine TV-Streaming-Boxen.
NetNut war ein populärer Anbieter von Residential Proxys. Das Prinzip: Haushalte stellen ihre Internetverbindung gegen eine kleine Gebühr Dritten zur Verfügung. In der Theorie klingt das nach harmloser Sharing Economy. Man teilt Bandbreite, verdient Geld, andere schützen ihre Privatsphäre. In der Praxis nutzen Cyberkriminelle diese Netzwerke, um ihre Identität zu verschleiern. Statt aus einem Rechenzentrum greifen sie aus einem normalen Wohnhaus an – schwerer zu blockieren.
Die Störung von NetNut ist kein Einzelfall. Bereits im Januar zerschlugen die Behörden das Netzwerk IPIDEA. Beide Male arbeiteten die Ermittler mit derselben Methode: Sie identifizierten die zentralen Server, die Steuerungsebene, und unterbrachen die Kommunikation mit den Endgeräten. Google spricht von einer signifikanten Degradierung. NetNuts Hauptdomain netnut.com zeigt inzwischen die „This website has been seized“-Seite der US-Behörden. Die zweite Domain netnut.io ist noch online – scheinbar ein bewusst stehen gelassener Rest, um Bewegungen der Betreiber zu beobachten.
Wie gelangen die Proxy-Anbieter an die Geräte normaler Nutzer? NetNut verteilte sein eigenes Software Development Kit – SDK – über die Firmware der TV-Streaming-Boxen. Die Hersteller solcher Boxen, oft günstige Android-TV-Geräte, schlossen Verträge mit NetNut. Angeblich, um durch Bandbreitenverkauf zusätzliche Einnahmen zu generieren. Wer eine solche Box kauft, stimmt meistens zu, ohne es zu wissen. Das Gerät wird zu einem Exit-Node, über den jeder Kunde von NetNut seinen Datenverkehr leiten kann – vom harmlosen Surfer bis zum Erpresser-Trojaner.
Die offizielle Empfehlung ist eindeutig: Lehne jedes Angebot ab, deine Bandbreite gegen Geld zu teilen. Nicht nur, weil es kriminelle Ökosysteme füttert. Die installierte Software öffnet oft Sicherheitslücken im Heimnetz. Angreifer könnten über diese Hintertür auf andere Geräte zugreifen oder den Router kapern. Ein NetNut-Gerät in deinem Netzwerk ist so, als würdest du einem Fremden jederzeit die Tür öffnen – mit der Bitte, er möge nur im Flur bleiben.
Das Ausmaß von NetNut war enorm. Google registrierte allein in einer Woche im Juni 2026 über 316 verschiedene Bedrohungscluster, die NetNut-Exit-Knoten nutzten. Darunter Cyberkriminelle, die Passwort-Spray-Attacken fuhren, aber auch staatlich gelenkte Spionagegruppen. NetNut bot nicht nur Proxy-Vermittlung an; die Firma bot auch Scraper, Datensets und mobile Proxys. Besonders perfide: NetNut betrieb ein Reseller-Programm. Andere Proxy-Netzwerke kauften einfach Kapazitäten von NetNut ein und gaben sie unter eigenem Namen weiter. Die Folge: Der Schlag gegen NetNut trifft nicht nur einen Anbieter, sondern einen ganzen Schwarm abhängiger Dienste.
Genau hier liegt die Herausforderung. Google räumt ein, dass solche einmaligen Störungen zwar wirken, aber nicht nachhaltig sind. Nach der IPIDEA-Aktion wechselten die Betreiber einfach zu Wettbewerbern. Sie kauften kurzerhand Kapazitäten von anderen Anbietern, um ihren Betrieb aufrechtzuerhalten. Deshalb setzt die Google Threat Intelligence Group inzwischen auf eine vernetzte Strategie: Sie greift nicht nur ein Netzwerk an, sondern mehrere, die eng miteinander verwoben sind. Ein Katz-und-Maus-Spiel, bei dem die Ermittler hoffen, den Kreislauf aus Aufbau und Zerschlagung zu durchbrechen.
Residential-Proxys sind an sich nicht illegal. Die Anbieter preisen sie als Werkzeug für Privatsphäre und Meinungsfreiheit an – ein Argument, das in autoritären Regimen durchaus zählt. Doch genau diese Verschleierung macht sie für Kriminelle attraktiv. Ein Unternehmen, das seine Webseite gegen DDoS-Angriffe schützen will, kann die IP eines Residential-Proxys kaum von einer echten Privatperson unterscheiden. Das Geschäftsmodell lebt von dieser Grauzone.
Google und das FBI setzen daher auf mehrere Hebel. Neben der technischen Störung arbeiten sie mit Internetdienstanbietern und Mobilfunkplattformen zusammen, um die Verbreitung der schädlichen SDKs einzudämmen. Offiziell heißt es, solche Ad-hoc-Aktionen hätten nur begrenzte Wirkung. Verstetigen könne man den Erfolg nur durch eine Branchenlösung: ISPs müssten verdächtigen Datenverkehr erkennen und unterbinden, Hersteller von Smart-Geräten dürften keine vorinstallierten Proxy-Kits mehr zulassen.
Für uns als Nutzer bedeutet das: Achte darauf, welche Geräte in deinem Netzwerk hängen. Besonders günstige Streaming-Boxen, Router oder Smart-Home-Gadgets von unbekannten Herstellern sind ein Risiko. Aktualisiere regelmäßig die Firmware, deaktiviere unnötige Dienste und lies die Datenschutzerklärungen – auch wenn es mühsam ist. Die Störung von NetNut ist ein Erfolg, aber kein Sieg. Das Ökosystem der Residential-Proxys passt sich an. Solange es Anbieter gibt, die Bandbreite von ahnungslosen Nutzern einkaufen, werden Kriminelle Wege finden, es zu missbrauchen. Die eigentliche Arbeit beginnt jetzt: Aufklärung, Regulierung und ein Bewusstsein dafür, dass auch vermeintlich harmlose Geräte Teil eines gefährlichen Netzes werden können.
Quelle: theregister.com
