Головне: ФБР вилучило домени NetNut 2 липня 2026 року, бо його «резидентське» постачання насправді було ботнетом Popa з близько двох мільйонів заражених споживчих пристроїв, тобто тією самою моделлю постачання через споживчі SDK, яку Google ліквідував в IPIDEA у січні. Замінити його ще одним резидентським пулом із таким самим джерелом означає зберегти ризик конфіскації й поміняти лише лого. Довговічна альтернатива NetNut — це інша модель: мобільні проксі з реальних пристроїв за згодою власників, де кожен запит логується й піддається атрибуції, тож жодного стороннього ботнета, який могла б конфіскувати скоординована операція, просто немає.
2 липня 2026 року ФБР ліквідувало одного з найвідоміших постачальників резидентських проксі на ринку. Якщо ви гнали трафік через NetNut, корисний урок тут не «знайти іншу резидентську мережу». Він у тому, щоб зрозуміти, чому саме цього постачальника взагалі можна було конфіскувати, і обрати заміну, яку конфіскувати неможливо за самою її будовою.
Що сталося з NetNut (2 липня 2026)
2 липня 2026 року ФБР разом із групою аналітики загроз Google (Threat Intelligence Group) та кримінальним підрозділом Податкової служби США (IRS Criminal Investigation), за технічної підтримки Black Lotus Labs від Lumen і Shadowserver Foundation, порушило роботу NetNut і вилучило сотні доменів, що стояли за сервісом (KrebsOnSecurity , BleepingComputer , SecurityWeek ). NetNut був мережею резидентських проксі, а адреси, які він перепродавав, працювали на ботнеті Popa: близько двох мільйонів заражених пристроїв.
Це був не збій білінгу й не тимчасова DDoS-атака. Google вимкнув акаунти командного керування (C2), що керували мережею, і випустив оновлення Google Play Protect, яке відключає застосунки з SDK NetNut на Android-пристроях (Infosecurity Magazine ). Вихідну інфраструктуру, за яку платили клієнти, демонтували біля джерела, а не пригальмували в дашборді.
Чому його ліквідували
Два мільйони пристроїв у ботнеті Popa не були серверами в дата-центрі. Це були смарт-телевізори, стрімінгові приставки та Android-телефони звичайних людей, залучені через набори інструментів для розробників (SDK), вшиті в застосунки майже або зовсім без свідомої згоди власників пристроїв (The Hacker News , Malwarebytes ). «Резидентський IP», який орендував клієнт NetNut, у значній частині випадків був домашнім інтернет-з’єднанням когось, хто ніколи не погоджувався його продавати.
Постачання з таким джерелом притягує саме той трафік, якого й слід очікувати. Лише за один тиждень червня 2026 року Google нарахував 316 окремих кластерів загроз, що йшли через вихідні вузли NetNut, а серед задокументованих сценаріїв були розпилення паролів, скрапінг контенту, рекламне шахрайство та захоплення акаунтів (SecurityWeek ). З погляду правоохоронних органів проксі-пул, зібраний зі споживчих пристроїв, власники яких ні про що не здогадуються, є ботнетом, і ставляться до нього відповідно.
Що це означає, якщо ви були клієнтом NetNut
Сервіс перервався. Alarum Technologies (NASDAQ: ALAR), материнська компанія NetNut, призупинила трафік і попередила в публічній заяві про суттєвий несприятливий вплив на її діяльність, фінансові результати та здатність обслуговувати клієнтів; на цій новині її акції впали (пресреліз Alarum , Calcalist ). Про остаточне закриття ніхто не оголошував, але сервіс, від якого залежало ваше навантаження, зупинився без попередження.
Отже, потрібна заміна. Пастка в тому, щоб сприймати це як звичайний вибір «щось замість чогось»: узяти наступну резидентську мережу , поміняти облікові дані й жити далі. Важливіше питання інше: чи має обрана вами заміна той самий вбудований режим збою.
Це збій ланцюга постачання, а не просто невезіння
Спокусливо прочитати цю ліквідацію як проблему одного лише NetNut: мовляв, один постачальник зрізав кути й попався. Таке прочитання заспокоює, але хибне. Вразливість криється в самій моделі, а не в бренді.
Коли проксі-мережа бере «резидентські» IP зі споживчих пристроїв, залучених через вбудовані SDK, усе її постачання складається з чужого заліза, зібраного в масштабі без свідомої участі власників. У такого постачання дві властивості, важливі для вас як покупця. Воно притягує зловживання, а зловживання притягують увагу. І його можна демонтувати однією скоординованою операцією (вилучення доменів, ліквідація C2 та зачистка застосунків на рівні платформи) саме тому, що є фізичний ботнет, який можна демонтувати.
У 2026 році це сталося вже двічі. NetNut став другою великою резидентською мережею, що впала цьогоріч. 28 січня Google порушив роботу IPIDEA, однієї з найбільших операцій резидентських проксі у світі: 13 пов’язаних брендів, зокрема 360Proxy, 922Proxy, ABC Proxy, IP2World, LunaProxy та PIA S5, що працювали приблизно на дев’яти мільйонах пристроїв, і понад 550 груп загроз, помічених у мережі лише за один тиждень, і все це на тій самій моделі постачання через споживчі SDK (Google Cloud Threat Intelligence , The Hacker News ).
Дві ліквідації з різницею приблизно в пів року, одна корінна причина. Якщо ваш наступний постачальник бере адреси так само (SDK чи «згодна» мережа, що працює на пристроях, які їй не належать), ви не усунули ризик. Ви перекупили його під іншим лого, а відлік до ліквідації вже пішов там, де ви його не бачите.
На що насправді дивитися в заміні
Справді важливі критерії вибору це ті, що переживають дію правоохоронців, а не ті, що красуються на сторінці порівняння функцій. П’ять питань відділяють довговічне постачання від відкладеного збою.
- Походження. Звідки фізично беруться IP і хто володіє та керує пристроями, на яких вони працюють? Слово «резидентський» описує адресу, а не пристрій чи згоду за ним.
- Ризик конфіскації. Чи можна вивести з ладу все постачання одним ордером, однією ліквідацією C2 чи однією зачисткою застосунків на рівні платформи? Якщо так, то аптайм стає питанням «коли», а не «чи».
- Простежуваність. Чи логується кожен запит так, щоб його можна було атрибутувати: який клієнт, який порт, у який час, до якого призначення? Постачальник, здатний точно відповісти на це, не мусить зникати, щоб себе захистити. iProxy.online відкрито написав, чому ми ведемо логи й не прикидаємося інакше ; і записуються саме ті поля, що згадані вище.
- Помітність. Як адреса виглядає для цільового сайту: як одна лінія домашнього провайдера, яку можна внести до чорного списку без супутньої шкоди, чи як IP мобільного оператора з високою довірою, яку так просто не заблокуєш?
- Юридична стійкість. Модель побудована так, щоб витримати перевірки, чи щоб лишатися на крок попереду них, поки це вдається? Юридична безпека є проєктним обмеженням першого рівня для постачання, яке має протриматися довго.
На жодне з цих питань не відповідає слово «етичний», надруковане на лендингу. На кожне з них відповідає модель постачання, що лежить під ним.
Резидентські проти мобільних проксі: чому різницю робить модель
Резидентські й мобільні проксі зазвичай ставлять поруч як дві альтернативи серверним проксі, обидві з реальними IP. Але для конкретного ризику, що щойно повалив NetNut, вони належать до різних класів.
Звідки беруться IP
Резидентський проксі працює через IP-адреси, призначені споживчим пристроям на домашніх інтернет-з’єднаннях, а в мережах, що щойно впали, ці пристрої були залучені через SDK, на які власники свідомо не погоджувалися. Мобільний проксі через iProxy.online працює через реальний Android-телефон зі справжньою SIM-карткою, керований з повною обізнаністю та згодою того, хто ним володіє: вашого власного пристрою або виділеного парку, що працює за договором. Адреса береться з власного пулу мобільного оператора; пристрій є відомим кінцевим вузлом, що дав згоду, а не чийсь телевізор, тихцем завербований застосунком.
Ця єдина відмінність у походженні і є всім аргументом. Усе, що нижче за течією (стійкість до блокувань, простежуваність, ризик конфіскації), випливає з того, кому належить залізо, з якого трафік фактично виходить.
Чому мобільні складніше заблокувати
Мобільна операторська IP — це не фіксована лінія одного домогосподарства. Це адреса операторського рівня з пулу, який оператор ротує по своїй абонентській базі, на автономній системі (ASN), яку антифрод-системи розпізнають як мобільного оператора. Заблокуйте цю адресу або її діапазон, і ризикуєте заблокувати реальних абонентів, які потраплять на неї наступними. Тому системи виявлення ставляться до ASN мобільних операторів як до IP найвищого рівня довіри й неохоче банять їх повністю, на противагу серверній адресі, яку запит до ASN викриває з першого погляду, чи одній домашній лінії провайдера, яку можна додати до чорного списку майже без супутньої шкоди. Це та сама практична властивість, за якою женеться вся галузь, лише досягнута через походження, а не розмір пулу: адреса, яку цільовий сайт не хоче блокувати.
Чому це прибирає ризик конфіскації
Ось що змінилося 2 липня. Якщо ваше постачання складається з реальних пристроїв, керованих за згодою, всередині немає ботнета: нічого зібраного із зараженого заліза, що скоординована операція могла б конфіскувати, і нічого, що міг би відключити Play Protect. Збій, який знищив NetNut та IPIDEA, потребує самого існування прихованої мережі пристроїв. Приберіть її з моделі, і разом із нею зникає збій.
Ваше постачання не випаровується через те, що хтось демонтував ботнет, від якого воно потай залежало, бо жодного такого ботнета для демонтажу немає.
iProxy проти типової резидентської альтернативи
| Критерій | Типовий резидентський проксі | iProxy (мобільний) |
|---|---|---|
| Звідки беруться IP | Споживчі пристрої, залучені через SDK чи «згодні» мережі | Реальні Android-пристрої з реальними SIM, керовані за згодою: ваші власні або керований парк |
| Ризик конфіскації | Весь пул можна вивести з ладу, якщо ліквідувати ботнет/SDK-постачання | Немає ботнета зі сторонніх пристроїв, який можна конфіскувати |
| Стійкість до блокувань | Адреси домашніх провайдерів: легше знімати відбиток і масово вносити до чорних списків | IP мобільних операторів на ASN високої довіри: заблокувати важко, не зачепивши реальних абонентів |
| Простежуваність | Різна, часто непрозора | Кожен запит логується й піддається атрибуції: клієнт, порт, час, призначення |
| Міграція | Зміна конфігу (хост, порт, облікові дані) | Кероване налаштування під ваш випадок: інша модель, а не рівноцінна заміна |
Порівняння не про те, у кого більше IP чи краща цифра аптайму, бо такі числа ми не вигадуватимемо заради перемоги в таблиці. Воно про те, яка модель ще існуватиме після поганого тижня. Резидентський пул із джерелом у споживчих SDK відділяє від фіналу NetNut лише одна дія правоохоронців. А в мобільному постачанні, побудованому на підконтрольних пристроях за згодою власників, такій дії нема чого конфіскувати.
Як піти з NetNut
Спершу чесно, бо рекламні пропозиції, що сипляться вам на пошту, тихцем про це лукавлять. Перехід від одного суто резидентського постачальника до іншого зводиться до заміни облікових даних: змінюєте хост, порт і логін, і на цьому все. Перехід на iProxy не такий, і вдавати протилежне означало б продавати вам той самий ризик під кращим текстом.
Мобільне постачання належить до іншого класу. Ви не орендуєте шматок непрозорого пулу; ви керуєте виділеними мобільними точками на реальних пристроях. Налаштування є коротким, свідомим процесом, а не операцією «знайти й замінити» у конфіг-файлі, і в цьому вся суть. Ви змінюєте свою модель ризику, а не лого.
На практиці це виглядає так: коротка розмова про ваш реальний сценарій (обсяг, цільові гео та платформи, проти яких ви працюєте, чи то великомасштабний збір даних , чи операції з акаунтами), а тоді ми складаємо під нього конфігурацію й видаємо вам доступ. Тут навмисно немає воронки самообслуговування, крізь яку треба протискувати корпоративне навантаження. Якщо ваш трафік настільки важливий, що раптова ліквідація стає справжньою проблемою, то він вартий і повноцінного налаштування.
Щоб швидко оцінити переїзд, розкажіть, що ви крутили на NetNut. Напишіть на [email protected] або в Телеграм CEO , і ми підберемо заміну під ваш обсяг.
Перейдіть на постачання, яке не можна втратити
NetNut впав не через недбалість. Він впав тому, що його постачанням був ботнет, а ботнети конфіскують. Найбезпечніша альтернатива NetNut — це не краще розрекламована версія тієї самої моделі. Це постачання, у якому нема чого конфісковувати: мобільні проксі на реальних пристроях за згодою власників, де кожен запит логується й піддається атрибуції.
Якщо саме такої довговічності потребує ваше навантаження, поговорімо тоді, коли зручно вам, а не коли це вирішить правоохоронний орган. Напишіть на [email protected] або зверніться в Телеграм CEO , щоб обговорити постачання, яке неможливо конфіскувати.