Google, en colaboración con el FBI, Lumen y otros socios del sector, ha anunciado una nueva operación contra las redes proxy residenciales maliciosas con el desmantelamiento de NetNut, una infraestructura que, según la compañía, utilizaba más de dos millones de dispositivos domésticos comprometidos para ocultar la actividad de ciberdelincuentes y grupos de ciberespionaje. La operación forma parte de una estrategia más amplia iniciada este mismo año para reducir este tipo de servicios, cada vez más utilizados para dificultar la atribución de los ataques.
Las redes proxy residenciales permiten enrutar el tráfico de Internet a través de direcciones IP pertenecientes a usuarios particulares. Aunque esta tecnología puede tener aplicaciones legítimas, también se ha convertido en una herramienta habitual para los atacantes, ya que les permite hacer que su actividad parezca proceder de conexiones domésticas normales y evitar muchos de los mecanismos tradicionales de detección.
Según explica Google Threat Intelligence Group (GTIG), NetNut —también conocida como Popa— se nutría principalmente de televisores inteligentes, dispositivos de streaming y otros equipos Android infectados mediante aplicaciones manipuladas o malware como Badbox 2.0. Una vez comprometidos, estos dispositivos pasaban a formar parte de una red utilizada para alquilar direcciones IP residenciales a terceros.
Durante una sola semana del pasado mes de junio, Google identificó 316 grupos de amenazas distintos utilizando nodos de NetNut para ocultar su ubicación real mientras realizaban ataques de password spraying, accedían a infraestructuras comprometidas o dirigían campañas de ciberespionaje.
Millones de dispositivos protegidos
Como parte de la operación, Google deshabilitó las cuentas y servicios empleados para controlar la infraestructura de mando y control (C2) de la red, compartió información técnica con investigadores, plataformas y fuerzas de seguridad, y actualizó Google Play Protect para detectar y bloquear las aplicaciones que incorporaban los componentes utilizados por NetNut. La compañía asegura que estas medidas han reducido en millones el número de dispositivos disponibles para los operadores de la red.
Más allá del uso de la propia marca NetNut, Google sostiene que la infraestructura alimentaba también un programa de reventa que permitía a otros proveedores comercializar el mismo servicio bajo distintas marcas, una práctica que complica la identificación del verdadero origen de estas redes y amplía su alcance dentro del mercado de proxies residenciales.
La compañía considera que el cierre de una única infraestructura no basta para resolver el problema. Tras la operación contra IPIDEA realizada en enero, sus investigadores observaron que algunos operadores comenzaron a adquirir capacidad de redes competidoras para mantener el servicio, actuando como revendedores. Por ello, Google defiende que será necesario actuar de forma coordinada sobre varias infraestructuras al mismo tiempo para lograr un impacto duradero.
El caso pone de manifiesto el crecimiento de un mercado que se ha convertido en una pieza habitual de la cadena de ataque. Además de facilitar el anonimato de los atacantes, las redes proxy residenciales exponen a los propietarios de los dispositivos comprometidos, cuyos equipos pueden ser utilizados para canalizar tráfico malicioso o servir como punto de acceso hacia otros dispositivos conectados a la misma red doméstica.
















