Proxy Netzwerke
Google stört NetNut-Netzwerk und warnt vor Risiken durch Residential Proxies
Googles Schlag gegen NetNut: Millionen Heimgeräte im Visier der Cyberkriminellen
Wenn Millionen privater Geräte heimlich zu Durchgangsstationen für Angriffe werden, verschiebt sich die Cyberbedrohung direkt ins Wohnzimmer. Genau dort setzen sogenannte Residential Proxy Networks an: Sie tarnen kriminellen Traffic als scheinbar normale Internetverbindung echter Haushalte. Googles jüngste Aktion gegen das NetNut-Netzwerk zeigt, wie wichtig die Zerschlagung solcher Infrastrukturen für den Schutz von Unternehmen, Verbrauchern und digitalen Ökosystemen geworden ist.
Google hat gemeinsam mit dem FBI, Lumen und weiteren Partnern Maßnahmen gegen das Residential-Proxy-Netzwerk NetNut ergriffen, das laut Google auch unter dem Namen Popa bekannt ist. Die Aktion ist Teil einer breiteren Strategie der Google Threat Intelligence Group, missbräuchlich genutzte Proxy-Netzwerke systematisch zu stören und deren technische Infrastruktur zu schwächen. Bereits im Januar 2026 war Google gegen das Proxy-Netzwerk IPIDEA vorgegangen.
Residential Proxies: Die unsichtbare Tarnschicht moderner Angriffe
Residential Proxies sind für Angreifer besonders wertvoll, weil sie Datenverkehr über echte private IP-Adressen leiten. Für Sicherheitssysteme sieht der Zugriff dadurch oft weniger verdächtig aus als Traffic aus Rechenzentren, VPNs oder bekannten Botnetzen. Genau diese Tarnung macht solche Netzwerke attraktiv für Cyberkriminelle, Spionagegruppen und Akteure, die ihre Herkunft verschleiern wollen.
Nach Angaben von Google ermöglichen solche Netzwerke Angreifern, bösartige Aktivitäten über IP-Adressen von Internetprovidern zu maskieren. Dafür müssen Betreiber Code auf privaten Endgeräten platzieren, damit diese Geräte als sogenannte Exit Nodes genutzt werden können. Betroffene Nutzer merken davon häufig nichts, obwohl ihr Heimnetzwerk zur Infrastruktur fremder Aktivitäten wird.
NetNut im Fokus: Millionen Geräte als potenzielle Angriffsfläche
Die Google Threat Intelligence Group schätzt, dass das NetNut-Netzwerk mindestens zwei Millionen Geräte weltweit umfasst. Damit gehört NetNut laut Google zu den größten und bekanntesten Residential-Proxy-Netzwerken. Besonders kritisch ist dabei nicht nur die Größe, sondern auch die Art der Verbreitung: Google verweist auf öffentliche Berichte und eigene Erkenntnisse, wonach NetNut SDKs für Geräte nutzt, die typischerweise in Privathaushalten stehen, darunter Smart-TVs und Streaming-Boxen.
Für Verbraucher entsteht daraus ein doppeltes Risiko. Einerseits kann die eigene IP-Adresse für fremde Angriffe, Betrug, Credential-Stuffing, Passwort-Spraying oder andere Aktivitäten missbraucht werden. Andererseits kann der dabei entstehende Netzwerkverkehr dazu führen, dass legitime Nutzer plötzlich als verdächtig eingestuft oder von Diensten blockiert werden. Google warnt zudem, dass kompromittierte Geräte als Exit Nodes weiteren unautorisierten Traffic durch das Heimnetzwerk leiten können.
Was Google konkret getan hat
Im Rahmen der Aktion hat Google nach eigenen Angaben Google-Konten und zugehörige Dienste deaktiviert, die NetNut für Malware-Command-and-Control-Infrastruktur genutzt haben sollen. Außerdem wurden technische Erkenntnisse zu NetNut-SDKs und Backend-Infrastruktur mit Plattformanbietern, Strafverfolgungsbehörden und Sicherheitsforschern geteilt. Zusätzlich warnt Google Play Protect Nutzer vor bekannten Apps, die NetNut-SDKs enthalten, und deaktiviert entsprechende Anwendungen auf geschützten Android-Geräten.
Google geht davon aus, dass diese Maßnahmen das NetNut-Netzwerk und dessen Geschäftsbetrieb deutlich beeinträchtigt haben. Nach Einschätzung des Unternehmens wurde der verfügbare Gerätepool des Proxy-Betreibers um Millionen Geräte reduziert. Zugleich weist Google darauf hin, dass NetNut über ein Reseller-Programm verfügt und viele bekannte Residential-Proxy-Marken nach Einschätzung der Threat-Intelligence-Experten NetNut-Infrastruktur per Whitelabel nutzen könnten.
Warum die Störung einzelner Netzwerke nicht reicht
Die Aktion gegen NetNut ist ein wichtiger Schritt, aber kein endgültiger Sieg. Google beschreibt das Residential-Proxy-Ökosystem als hochgradig vernetzt. Wenn ein Netzwerk geschwächt wird, können Betreiber Kapazitäten bei Wettbewerbern zukaufen und selbst als Reseller auftreten. Dadurch entsteht ein flexibles Schattenökosystem, das sich schnell neu zusammensetzen kann. Genau deshalb wird die langfristige Bekämpfung solcher Strukturen zu einer Aufgabe für mehrere Akteure zugleich: Plattformbetreiber, App-Stores, Sicherheitsunternehmen, Internetprovider und Strafverfolgungsbehörden müssen technische Erkenntnisse teilen, Command-and-Control-Infrastruktur blockieren und missbräuchliche SDKs aus dem Ökosystem entfernen.
Auch Unternehmen sind betroffen
Residential Proxies sind längst kein reines Verbraucherproblem. Für Unternehmen erschweren sie die Angriffserkennung, weil bösartiger Traffic aus scheinbar legitimen privaten IP-Räumen stammen kann. Google beobachtete in nur einer Woche im Juni 2026 insgesamt 316 unterschiedliche Threat Cluster, die mutmaßliche NetNut Exit Nodes nutzten, darunter cyberkriminelle Gruppen und Spionageakteure.
Für Security-Teams bedeutet das: Klassische IP-Reputation allein reicht nicht mehr aus. Moderne Abwehr muss stärker kontextbasiert arbeiten, Verhaltensmuster erkennen, Login-Anomalien auswerten und verdächtige Zugriffsketten über Geräte, Identitäten und Netzwerke hinweg korrelieren. Besonders bei Passwort-Spraying, Kontoübernahmen, Fraud-Kampagnen und verdeckter Infrastrukturkommunikation sind Residential Proxies ein wachsender Risikofaktor.
Worauf Verbraucher achten sollten
Google empfiehlt Verbrauchern besondere Vorsicht bei Apps, die Geld für „ungenutzte Bandbreite“ oder das „Teilen des Internets“ versprechen. Solche Angebote können Einfallstore für Proxy-Netzwerke sein. Nutzer sollten Apps bevorzugt aus offiziellen App-Stores installieren, Berechtigungen von VPN-, Proxy- und Netzwerk-Apps kritisch prüfen und integrierte Schutzfunktionen wie Google Play Protect aktiviert lassen.
Auch beim Kauf vernetzter Geräte ist Vorsicht geboten. Smart-TVs, Streaming-Boxen und andere IoT-Geräte sollten von seriösen Herstellern stammen und offizielle Sicherheitszertifizierungen unterstützen. Gerade günstige oder intransparente Geräte können ein Risiko darstellen, wenn Schadsoftware oder unerwünschte Proxy-Komponenten bereits vorinstalliert sind.
Fazit: Die neue Angriffsfläche sitzt im Heimnetz
Googles Vorgehen gegen NetNut zeigt, wie stark sich Cyberkriminalität in alltägliche digitale Umgebungen verlagert hat. Nicht nur Server, Cloud-Dienste oder Unternehmensnetzwerke sind Teil der Angriffsfläche, sondern zunehmend auch private Geräte, Streaming-Hardware und scheinbar harmlose Apps.
Für Unternehmen bedeutet das eine neue Realität in der Angriffserkennung: Verdächtiger Traffic kommt nicht mehr zwingend aus verdächtigen Netzen. Er kann aus echten Haushalten stammen, über legitime Provider laufen und dadurch Sicherheitsmechanismen umgehen. Die Störung von Residential-Proxy-Netzwerken ist deshalb mehr als ein technischer Schlag gegen einzelne Anbieter. Sie ist ein notwendiger Eingriff in die Tarninfrastruktur moderner Cyberangriffe.