ABD'de yürütülen ortak bir operasyon, milyonlarca kullanıcının cihazını farkında olmadan siber saldırılarda kullanan büyük bir proxy ağını hedef aldı. Operasyona FBI ile Google'ın Threat Intelligence Group ekibi öncülük etti. Çalışmanın odağında ise araştırmacıların Popa botnet olarak takip ettiği NetNut adlı ticari proxy hizmeti yer aldı.
Google'ın paylaştığı bilgilere göre ağ, dünya genelinde 2 milyondan fazla cihazı kendi altyapısına dahil etti. Böylece internet trafiği ev kullanıcılarının bağlantıları üzerinden yönlendirildi.
Ucuz Android cihazlar saldırı ağına dönüştü
Popa botnet, düşük maliyetli Android tabanlı akıllı televizyonlar, medya kutuları ve SmartTube gibi resmi olmayan uygulamalara eklenen zararlı bir yazılım geliştirme kitiyle yayıldı.
Bu yazılım bulaşan cihazlar internete bağlandıktan sonra, kullanıcıların açık onayı olmadan proxy çıkış noktası olarak çalışmaya başladı. Böylece saldırganlar internet trafiğini ev kullanıcılarının IP adresleri üzerinden yönlendirdi. Bu yöntem, kötü amaçlı faaliyetlerin güvenlik sistemleri tarafından tespit edilmesini ve engellenmesini zorlaştırdı.
Google, yalnızca Haziran 2026'daki bir haftalık dönemde NetNut altyapısını kullanan en az 316 farklı tehdit grubunu tespit etti. Bu gruplar parola deneme saldırıları, ele geçirilmiş hesaplarla giriş denemeleri, reklam dolandırıcılığı ve hassas veri toplama faaliyetleri yürüttü.
Ticari bağlantılar dikkat çekti
Araştırmacılar, NetNut'un klasik botnet yapılarından farklı çalıştığını belirtti. Ağın yalnızca siber suç grupları tarafından yönetilmediği, ticari bağlantılarının da bulunduğu ifade edildi.
Siber güvenlik gazetecisi Brian Krebs'in aktardığı bilgilere göre ağın, Nasdaq'ta işlem gören İsrailli Alarum Technologies Ltd. ile bağlantısı bulunuyor. Qurium ve Synthient gibi güvenlik şirketlerinin araştırmaları, Alarum yöneticileri ile Popa SDK'sını geliştiren ekip arasında doğrudan bağlar tespit etti.
Alarum daha önce sistemini kullanıcı onayına dayalı bir bant genişliği paylaşım hizmeti olarak tanımlamıştı. Ancak bağımsız teknik incelemeler, cihaz sahiplerinin ağın bir parçası haline geldiği konusunda açık şekilde bilgilendirilmediğini ve anlamlı bir onay sürecinin işletilmediğini ortaya koydu.
NetNut ile bağlantılı alan adlarına el konulmasının ardından Alarum Technologies bir açıklama yaptı. Şirket, konuyu ciddiyetle ele aldığını, kolluk kuvvetleriyle iş birliği yapacağını ve altyapının kötüye kullanılıp kullanılmadığının kapsamlı şekilde araştırılacağını bildirdi.
Aynı altyapıyı başka şirketler de kullandı
Google, şirketler arasındaki bağlantılar hakkında doğrudan değerlendirme yapmadı. Bunun yerine ağın çalışma biçimine dikkat çekti.
Araştırmacılar, NetNut'un yeniden satıcı modeliyle çalıştığını ve farklı şirketlerin aynı altyapıyı kendi markaları altında hizmete sunduğunu belirtti. Google ekibi, piyasadaki birçok popüler konut tipi proxy hizmetinin NetNut altyapısını kullandığını yüksek güvenle değerlendirdiğini açıkladı.
Yüzlerce alan adına el konuldu
Operasyon kapsamında yetkililer hizmetle bağlantılı yüzlerce alan adına el koydu. Google ise komuta ve kontrol amacıyla kullanılan hesapları kapattı, Play Protect'i güncelledi ve etkilenen uygulamaları tespit edecek yeni korumaları devreye aldı. Zararlı SDK'yı içeren uygulamalar da kullanımdan kaldırıldı.
Google, yürütülen ortak operasyonun NetNut'un faaliyetlerine büyük darbe vurduğunu ve proxy ağında kullanılan cihaz sayısını milyonlarca azaltmayı başardığını açıkladı.
Sıradaki hedef proxy altyapıları
Bu operasyon, Ocak 2026'da IPIDEA proxy ağına yönelik gerçekleştirilen müdahalenin ardından geldi. Son gelişme, güvenlik kurumlarının artık yalnızca ağı kullanan kişileri değil, bu sistemleri ayakta tutan altyapıları da hedef aldığını gösteriyor.
Operasyonun ardından kısa süreli bir karışıklık da yaşandı. FBI, netnut.com alan adına el koyarken netnut.io bir süre daha erişilebilir kaldı. Bu durum bazı çevrelerde yanlış alan adına el konulduğu yönünde yorumlandı.
Ancak güvenlik araştırmacıları, asıl hedefin internet sitesi değil komuta ve kontrol altyapısı olduğunu belirtti. Araştırmacılara göre bu altyapının devre dışı kalması, bazı alan adları erişilebilir olsa bile ağın etkin şekilde çalışmasını engelledi.