Özet: FBI, 2 Temmuz 2026’da NetNut’a el koydu; çünkü “konut” tedariki, yaklaşık iki milyon virüslü tüketici cihazından oluşan Popa botnet’iydi. Bu, Google’ın Ocak ayında IPIDEA’da çökerttiği tüketici-SDK tedarik modelinin aynısıydı. NetNut’u aynı şekilde beslenen başka bir konut havuzuyla değiştirmek, el koyma riskini korur ve yalnızca logoyu değiştirir. Kalıcı NetNut alternatifi farklı bir modeldir: gerçek ve rıza gösteren cihazlardan alınan, her isteği kaydedilen ve ilişkilendirilebilen mobil proxy’ler; yani el konulacak üçüncü taraf bir botnet yoktur.
2 Temmuz 2026’da FBI, piyasadaki en tanınmış konut proxy sağlayıcılarından birini çökertti. Trafiğinizi NetNut üzerinden yönlendiriyorduysanız, buradan çıkarılacak asıl ders “başka bir konut ağı bul” değil. Asıl mesele, bu ağın en baştan neden el konulabilir olduğunu anlamak ve yapısı gereği el konulamayacak gerçek bir NetNut alternatifi seçmektir.
NetNut’a ne oldu (2 Temmuz 2026)
2 Temmuz 2026’da FBI; Google’ın Tehdit İstihbaratı Grubu ve IRS Criminal Investigation ile birlikte, Lumen’in Black Lotus Labs ekibi ve Shadowserver Foundation’ın teknik desteğiyle NetNut’u çökertti ve arkasındaki yüzlerce alan adına el koydu (KrebsOnSecurity , BleepingComputer , SecurityWeek ). NetNut bir konut proxy ağıydı ve yeniden sattığı adresler Popa botnet’i üzerinde çalışıyordu: yaklaşık iki milyon virüslü cihaz.
Bu, bir faturalandırma kesintisi ya da geçici bir DDoS saldırısı değildi. Google, ağı işleten komuta-kontrol (C2) hesaplarını devre dışı bıraktı ve Android cihazlarda NetNut’un SDK’sını taşıyan uygulamaları devre dışı bırakan bir Google Play Protect güncellemesi yayınladı (Infosecurity Magazine ). Müşterilerin parasını ödediği çıkış altyapısı, bir panelde kısılmadı; doğrudan kaynağında söküldü.
Neden kapatıldı
Popa botnet’indeki iki milyon cihaz, bir veri merkezindeki sunucular değildi. Bunlar sıradan insanlara ait akıllı TV’ler, yayın kutuları ve Android telefonlardı; cihaz sahiplerinden çok az anlamlı rıza alınarak ya da hiç alınmadan, uygulamalara gömülü yazılım geliştirme kitleri (SDK’lar) aracılığıyla ağa dahil edilmişlerdi (The Hacker News , Malwarebytes ). Bir NetNut müşterisinin kiraladığı “konut IP’si”, durumların büyük bir kısmında, onu satmayı hiç kabul etmemiş birinin ev internet bağlantısıydı.
Bu şekilde beslenen bir tedarik, tam da beklediğiniz trafiği çeker. Google, 2026 Haziran’ında tek bir hafta içinde NetNut çıkış düğümleri üzerinden yönlenen 316 ayrı tehdit kümesi saydı; belgelenen kullanımlar arasında parola püskürtme (password spraying), içerik kazıma, reklam dolandırıcılığı ve hesap ele geçirme vardı (SecurityWeek ). Kolluk açısından, habersiz tüketici cihazlarından oluşturulmuş bir proxy havuzu bir botnet’tir ve öyle muamele görür.
NetNut müşterisiyseniz bu ne anlama geliyor
Hizmet kesildi. NetNut’un ana şirketi Alarum Technologies (NASDAQ: ALAR), trafiği askıya aldı ve kamuya açık bir bildirimde; faaliyetleri, finansal sonuçları ve müşterilerine hizmet verme kabiliyeti üzerinde önemli ölçüde olumsuz bir etki uyarısında bulundu; şirketin hisseleri haberle birlikte değer kaybetti (Alarum basın açıklaması , Calcalist ). Kimse kalıcı bir kapanış duyurmadı, ama iş yükünüzün bağımlı olduğu hizmet, önceden haber verilmeden durdu.
Yani bir alternatife ihtiyacınız var. Tuzak, bunu birebir bir alışveriş problemi gibi görmek: bir sonraki konut proxy ağını seç, kimlik bilgilerini değiştir, yoluna devam et. Asıl önemli soru, seçtiğiniz alternatifin aynı başarısızlık senaryosunu içinde barındırıp barındırmadığıdır.
Bu kötü şans değil, bir tedarik zinciri sorunu
Bu operasyonu yalnızca NetNut’un sorunu olarak okumak cazip geliyor: kestirmeden gidip yakalanan tek bir sağlayıcı. Bu okuma rahatlatıcı ama yanlış. Zafiyet markada değil, modelde.
Bir proxy ağı, “konut” IP’lerini gömülü SDK’lar aracılığıyla kaydedilmiş tüketici cihazlarından beslediğinde, tüm tedariki başkalarının donanımından oluşur; sahiplerinin bilinçli katılımı olmadan büyük ölçekte bir araya getirilmiştir. Bu tedarikin, bir alıcı olarak sizi ilgilendiren iki özelliği vardır. Kötüye kullanımı çeker ve bu da onu mercek altına sokar. Ayrıca tek bir koordineli operasyonla sökülebilir (alan adlarına el konması, C2 çökertmeleri ve platform düzeyinde bir uygulama temizliği), çünkü sökülecek fiziksel bir botnet vardır.
Bu, 2026’da artık ikinci kez yaşandı. NetNut, bu yıl düşen ikinci büyük konut ağı. 28 Ocak’ta Google, dünyanın en büyük konut proxy operasyonlarından biri olan IPIDEA’yı çökertti: 360Proxy, 922Proxy, ABC Proxy, IP2World, LunaProxy ve PIA S5 dahil 13 ilişkili marka, tahmini dokuz milyon cihaz üzerinde çalışıyordu ve tek bir hafta içinde ağı kullanan 550’den fazla tehdit grubu gözlemlendi; hepsi aynı tüketici-SDK tedarik modeliyle (Google Cloud Threat Intelligence , The Hacker News ).
İki operasyon, aşağı yukarı altı ay arayla, aynı kök neden. Bir sonraki sağlayıcınız adreslerini aynı yolla besliyorsa (sahibi olmadığı cihazlar üzerinde çalışan bir SDK ya da “rıza” ağı), riski ortadan kaldırmış olmazsınız. Onu farklı bir logo altında yeniden satın almış olursunuz ve çökertme sayacı, göremediğiniz bir yerde çoktan işlemeye başlamıştır.
Bir alternatifte gerçekte neye bakmalısınız
Önemli olan seçim kriterleri, bir özellik karşılaştırma sayfasındakiler değil, bir kolluk operasyonundan sağ çıkanlardır. Beş soru, kalıcı bir tedariki ertelenmiş bir kesintiden ayırır.
- Köken. IP’ler fiziksel olarak nereden geliyor ve üzerinde çalıştıkları cihazların sahibi ve işletmecisi kim? “Konut” kelimesi adresi tanımlar; cihazı ya da arkasındaki rızayı değil.
- El konulabilirlik. Tüm tedarik tek bir mahkeme kararıyla, tek bir C2 çökertmesiyle ya da tek bir platform uygulama temizliğiyle sekteye uğratılabilir mi? Yanıt evetse, kesinti bir olasılık değil, bir zaman meselesidir.
- İzlenebilirlik. Her istek kaydedilir ve ilişkilendirilebilir mi: hangi istemci, hangi port, hangi saatte, hangi hedefe? Bu soruyu net biçimde yanıtlayabilen bir sağlayıcı, kendini korumak için ortadan kaybolmak zorunda olmayandır. iProxy.online, neden kayıt tuttuğumuzu ve bunu gizlemediğimizi açıkça yazdı; kaydedilen alanlar tam da yukarıdakilerdir.
- Tespit edilebilirlik. Adres hedefe nasıl görünüyor: hiçbir yan hasar olmadan kara listeye alınabilen tek bir ev ISS hattı olarak mı, yoksa buna imkân vermeyen yüksek güvenilirlikli bir mobil operatör IP’si olarak mı?
- Hukuki dayanıklılık. Model, denetime dayanacak şekilde mi kurulmuş, yoksa dayanamayacağı ana kadar denetimin bir adım önünde kalacak şekilde mi? Kalıcı olması amaçlanan bir tedarik için hukuki güvenlik, birinci sınıf bir tasarım kısıtıdır .
Bunların hiçbiri, bir açılış sayfasına yazılmış “etik” kelimesiyle yanıtlanmaz. Her biri, altındaki tedarik modeliyle yanıtlanır.
Konut proxy’si mi, mobil proxy mi: farkı yaratan model
Konut ve mobil proxy’ler genellikle veri merkezi proxy’lerine karşı iki “gerçek IP” alternatifi olarak birlikte anılır. Ama NetNut’u yeni deviren belirli risk açısından, ikisi aynı sınıftan şeyler değil.
IP’ler nereden geliyor
Bir konut proxy’si , ev internet bağlantılarındaki tüketici cihazlarına atanmış IP adresleri üzerinden yönlendirir; yeni düşen ağlarda ise bu cihazlar, sahiplerinin bilerek onaylamadığı SDK’lar aracılığıyla ağa dahil edilmişti. iProxy.online üzerinden bir mobil proxy ise gerçek bir SIM kartı olan gerçek bir Android telefon üzerinden yönlendirir; bu telefon, onu kontrol eden kişinin tam bilgisi ve rızasıyla işletilir: kendi cihazınız ya da sözleşmeyle işletilen özel bir cihaz filosu. Adres, mobil operatörün kendi havuzundan gelir; cihaz, bir uygulamanın sessizce devşirdiği bir yabancının televizyonu değil, bilinen ve rıza gösteren bir uç noktadır.
Kökendeki bu tek fark, meselenin tamamıdır. Gerisi (engellenmeye direnç, izlenebilirlik, el koyma riski) trafiğin gerçekte üzerinden çıktığı donanımın sahibinin kim olduğuna bağlıdır.
Mobil neden daha zor engellenir
Bir mobil operatör IP’si, tek bir hanenin sabit hattı değildir. Operatörün abone tabanı boyunca döndürdüğü bir havuzdan alınan, dolandırıcılık önleme sistemlerinin mobil operatör olarak tanıdığı bir otonom sistem (ASN) üzerindeki operatör sınıfı bir adrestir. Bu adresi ya da aralığını engellerseniz, hemen ardından o adrese geçecek gerçek aboneleri de engelleme riskini alırsınız. Bu yüzden tespit sistemleri, mobil operatör ASN’lerini en yüksek güven sınıfındaki IP olarak görür ve onları doğrudan yasaklamakta ağır davranır. Bu, bir ASN sorgusunun görür görmez işaretlediği bir veri merkezi adresinin ya da neredeyse hiç yan hasar olmadan kara listeye eklenebilen tek bir ev ISS hattının tam tersidir. Tüm sektörün peşinde koştuğu pratik özelliğin ta kendisidir; havuz büyüklüğüyle değil, kökenle elde edilir: hedef sitenin engellemekte tereddüt ettiği bir adres.
Bu, el koyma riskini neden ortadan kaldırır
2 Temmuz’da değişen kısım işte burası. Tedarikiniz rızayla işletilen gerçek cihazlardan oluşuyorsa, içinde bir botnet yoktur: koordineli bir operasyonun el koyacağı, virüslü donanımdan devşirilmiş hiçbir şey ve Play Protect’in devre dışı bırakacağı hiçbir şey. NetNut’u ve IPIDEA’yı bitiren başarısızlık, en başta gizli bir cihaz ağının var olmasını gerektirir. Bunu modelden çıkarın, başarısızlık da onunla gider. Tedarikiniz, sessizce bağımlı olduğu bir botnet birileri tarafından söküldüğü için buharlaşmaz; çünkü sökülecek böyle bir botnet yoktur.
iProxy’ye karşı tipik bir konut proxy alternatifi
| Kriter | Tipik konut proxy’si | iProxy (mobil) |
|---|---|---|
| IP’lerin kaynağı | SDK’lar veya “rıza” ağları aracılığıyla kaydedilen tüketici cihazları | Rızayla işletilen, gerçek SIM’li gerçek Android cihazlar: kendi cihazınız veya yönetilen bir filo |
| El koyma riski | Botnet/SDK tedariki çökertilirse tüm havuz sekteye uğrayabilir | El konulacak üçüncü taraf cihaz botnet’i yok |
| Engellenmeye direnç | Ev ISS adresleri; büyük ölçekte parmak izi çıkarmak ve kara listeye almak daha kolay | Yüksek güvenilirlikli operatör ASN’lerinde mobil operatör IP’leri; gerçek abonelere dokunmadan engellemek maliyetli |
| İzlenebilirlik | Değişken, çoğu zaman şeffaf değil | Her istek kaydedilir ve ilişkilendirilebilir: istemci, port, saat, hedef |
| Geçiş | Yapılandırma değişikliği (host, port, kimlik bilgileri) | Senaryonuza göre rehberli kurulum: birebir değişim değil, farklı bir model |
Karşılaştırma, kimin daha çok IP’si ya da daha iyi bir çalışma süresi rakamı olduğuyla ilgili değil; bir tabloyu kazanmak için uyduracağımız sayılarla hiç değil. Mesele, kötü bir haftadan sonra hangi modelin hâlâ ayakta olduğudur. Tüketici cihazlarının SDK’larından beslenen bir konut havuzu, NetNut’un sonucundan yalnızca tek bir kolluk operasyonu uzaklıktadır. Rıza gösteren, kontrol edilebilir cihazlardan kurulu bir mobil tedarikin ise o operasyonun el koyacağı hiçbir şeyi yoktur.
NetNut’tan nasıl çıkılır
Önce dürüstlük; çünkü gelen kutunuza düşen alternatif teklifler bu konuda sessizce dürüst değil. Saf bir konut sağlayıcısından bir diğerine geçmek, bir kimlik bilgisi değişimidir: host’u, portu ve kullanıcı adını değiştirin, iş biter. iProxy’ye geçmek bu değildir; aksini iddia etmek, size aynı riski daha iyi bir metinle satmak olur.
Mobil, farklı bir tedarik sınıfıdır. Şeffaf olmayan bir havuzdan bir dilim kiralamıyorsunuz; gerçek cihazlar üzerinde özel mobil uç noktalar çalıştırıyorsunuz. Kurulum, bir yapılandırma dosyasında bul-değiştir yapmak yerine kısa ve bilinçli bir süreçtir ve mesele de tam olarak budur. Logonuzu değil, risk modelinizi değiştiriyorsunuz.
Pratikte şöyle görünür: gerçek kullanım senaryonuz hakkında kısa bir görüşme (hacim, hedef coğrafyalar ve karşısında çalıştığınız platformlar, ister büyük ölçekli veri toplama ister hesap operasyonları olsun), ardından buna bir yapılandırma eşleştirip size erişim sağlarız. Kurumsal bir iş yükünü içinden geçirmeye zorlayan bir self servis huni yoktur; bu, bilinçli bir tasarım tercihidir. Trafiğiniz, duyurulmamış bir operasyonun gerçek bir sorun olacağı kadar önemliyse, gerçek bir kurulumu hak edecek kadar da önemlidir.
Geçişi planlamanın en hızlı yolu, NetNut üzerinde ne çalıştırdığınızı bize anlatmaktır. [email protected] adresine e-posta gönderin veya Telegram’da CEO’ya yazın; hacminize uygun bir alternatifi birlikte belirleyelim.
Kaybedemeyeceğiniz bir tedarike geçin
NetNut, dikkatsiz olduğu için başarısız olmadı. Tedariki bir botnet olduğu için başarısız oldu ve botnet’lere el konur. En güvenli NetNut alternatifi, aynı modelin daha iyi pazarlanmış bir sürümü değildir. El konulacak hiçbir şeyi olmayan bir tedariktir: gerçek ve rıza gösteren cihazlar üzerinde, her isteği kaydedilen ve ilişkilendirilebilen mobil proxy’ler.
İş yükünüzün ihtiyaç duyduğu dayanıklılık buysa, bir kolluk biriminin programına göre değil, kendi programınıza göre konuşalım. El konulamayacak bir tedariki görüşmek için [email protected] adresine e-posta gönderin veya Telegram’da CEO’ya ulaşın.