TLDR
- Google GTIG ha annunciato azioni contro NetNut, noto anche come Popa, stimando almeno 2 milioni di device coinvolti.
- Una rete proxy residenziale vende traffico che esce da IP domestici reali: smart TV, streaming box e app possono diventare exit node.
- Il rischio per l'utente non è solo consumare banda: il traffico di altri può passare dal suo IP e aprire strade verso la rete locale.
- La difesa passa da hardware affidabile, app store ufficiali, Play Protect, rete IoT separata e diffidenza verso app che pagano per la banda inutilizzata.
Perché conta ora
Una smart TV economica sembra un oggetto passivo.
La colleghi, installi due app, guardi contenuti, la dimentichi accesa per mesi. È lì, silenziosa, sempre in rete, raramente aggiornata, quasi mai osservata.
Perfetta.
Google Threat Intelligence Group ha annunciato il 2 luglio 2026 azioni contro NetNut, noto anche come Popa, una grande rete proxy residenziale. Secondo Google, la rete coinvolge almeno 2 milioni di dispositivi nel mondo e include device domestici come smart TV e streaming box.
Il punto non è solo che qualcuno usa la tua banda.
Il punto è che qualcuno può usare il tuo indirizzo di casa come maschera.
Cos'è un proxy residenziale
Un proxy residenziale instrada traffico attraverso IP assegnati a utenti reali.
Per chi difende siti e piattaforme, un IP di datacenter è facile da trattare con sospetto. Un IP domestico invece sembra traffico normale: una connessione di casa, un provider reale, una geografia coerente.
Questo lo rende prezioso per:
- scraping aggressivo;
- credential stuffing;
- password spray;
- frodi pubblicitarie;
- creazione di account falsi;
- evasione di blocchi geografici;
- occultamento dell'origine di un attacco.
Non tutto l'uso dei proxy è criminale. Ma quando il dispositivo dell'utente diventa exit node senza consenso reale, il confine è già saltato.
Come finisce dentro casa
Google descrive due strade principali.
La prima: device venduti già compromessi o pre-caricati con software proxy.
La seconda: app che includono SDK nascosti o poco chiari. L'utente installa una VPN, una utility, un'app di streaming, un gioco o un servizio che promette vantaggi in cambio della "banda inutilizzata". Poi il dispositivo diventa un nodo della rete.
Il linguaggio commerciale è morbido.
"Condividi la tua banda."
"Guadagna con Internet inutilizzato."
"Aiuta la rete."
Traduzione tecnica: traffico di altri esce dal tuo IP.
Perché è un problema anche se non sei il bersaglio
Molti pensano: "Se usano solo la mia connessione, pazienza".
No.
Ci sono almeno tre rischi.
Primo: reputazione. Il tuo IP può finire associato a login fraudolenti, scraping, spam, tentativi di accesso o abuso di piattaforme. Poi sei tu a trovarti CAPTCHA, blocchi, segnalazioni o problemi con servizi online.
Secondo: rete locale. Se un dispositivo diventa exit node, traffico non autorizzato entra in casa e può creare percorsi verso altri device sulla stessa LAN.
Terzo: visibilità. Smart TV e box streaming sono spesso invisibili nella routine di sicurezza. Non guardi i processi, non guardi i log, non controlli i binari. Restano accesi.
E ciò che resta acceso diventa infrastruttura.
Il caso NetNut/Popa
Google afferma di aver lavorato con FBI, Lumen e altri partner per degradare NetNut/Popa. Le azioni includono disabilitazione di account Google e servizi associati al command and control, condivisione di intelligence su SDK e backend, e protezioni via Google Play Protect contro app note per includere componenti NetNut.
La parte interessante è l'effetto a catena.
Google sostiene che NetNut abbia anche un programma reseller: marchi diversi possono vendere lo stesso pool di proxy. Questo significa che bloccare un nome non basta sempre, perché il traffico può riapparire sotto altri brand.
È un mercato fluido.
Non un singolo server da spegnere.
Cosa controllare a casa
Se hai smart TV, streaming box o device Android economici:
- Compra hardware da produttori riconoscibili.
- Preferisci Android TV certificato e app store ufficiali.
- Tieni attivo Play Protect sui device supportati.
- Evita app che promettono compensi per condividere banda.
- Disinstalla VPN gratuite o proxy poco chiari.
- Controlla traffico anomalo dal router.
- Isola TV, box e IoT su rete separata.
- Blocca accesso degli IoT a NAS, laptop e pannelli admin.
- Aggiorna firmware quando disponibile.
- Spegni o scollega device che non usi.
La sicurezza domestica non richiede paranoia.
Richiede inventario.
Sapere cosa è collegato è metà del lavoro.
Cosa controllare in azienda
Per chi gestisce reti:
- alert su login da IP residenziali ad alto rischio;
- rate limiting intelligente;
- reputazione IP con contesto, non solo blocklist cieche;
- rilevamento di password spray distribuito;
- controllo dei device IoT sulla rete guest;
- segmentazione forte tra rete ospiti, IoT e produzione;
- blocco di app proxy e bandwidth sharing su endpoint gestiti;
- DNS logging per domini C2 o proxy SDK noti.
Il proxy residenziale è fastidioso perché rompe una scorciatoia mentale: non puoi fidarti di un IP solo perché sembra "di casa".
Errori comuni
Il primo errore è comprare box streaming sconosciuti perché costano poco e promettono tutto.
Il prezzo basso può essere il modello di acquisizione.
Il secondo errore è mettere TV, NAS, laptop, stampante e router admin sulla stessa rete piatta.
Se la TV cade, non deve vedere il resto della casa.
Il terzo errore è pensare che "non ho niente di interessante" sia una difesa. Il tuo indirizzo IP è già interessante. La tua posizione nella rete è già interessante. La tua connessione è già interessante.
Il punto
Un device domestico moderno non è solo un oggetto.
È una macchina sempre accesa con rete, CPU, storage, app, SDK e aggiornamenti incerti.
Quando diventa parte di un proxy residenziale, non sta solo consumando banda. Sta prestando identità di rete a qualcun altro.
La domanda non è più solo "la smart TV mi spia?".
La domanda è anche: "la smart TV sta facendo passare traffico che non è mio?".
E questa, purtroppo, è una domanda molto più pratica.
FAQ
Che cos'è un proxy residenziale?
È un servizio che instrada traffico Internet attraverso IP di utenti reali, invece che da datacenter. Può avere usi legittimi, ma viene abusato per nascondere attività malevole.
Perché una smart TV può finire in una rete proxy?
Perché alcune app o firmware possono includere SDK che trasformano il dispositivo in un exit node, spesso con consenso poco chiaro o inesistente.
Qual è il rischio per chi ha il dispositivo?
Il suo IP può essere associato a traffico di terzi, finire in blacklist o diventare punto di passaggio per attacchi verso altri device nella stessa rete domestica.
Come capisco se una app è sospetta?
Diffida di app che promettono soldi o vantaggi per condividere banda, VPN gratuite poco chiare, streaming box sconosciuti e permessi di rete non giustificati.
Una VLAN IoT risolve tutto?
No, ma riduce molto il danno: se una TV o un box vengono arruolati come exit node, non devono poter raggiungere NAS, laptop, stampanti e pannelli admin.
Fonti
- Google Cloud - Google's Continued Disruption of Malicious Residential Proxy Networks
- The Hacker News - Google Disrupts NetNut Residential Proxy Network Spanning 2 Million Home Devices
- KrebsOnSecurity - Popa Botnet Linked to Publicly-Traded Israeli Firm
- Google Play Protect
- Android TV - Official partners