Google, en colaboración con el FBI, Lumen Technologies y otros socios de ciberseguridad, ha coordinado una operación para desmantelar la infraestructura de la red de proxy residencial NetNut (también conocida como “Popa”). Esta red maliciosa comprometió aproximadamente 2 millones de dispositivos domésticos a nivel global, convirtiéndolos en nodos de salida involuntarios utilizados por cientos de grupos de amenazas para ocultar sus ataques.
Veredicto Analítico
- Estado: Infraestructura C2 interrumpida / Campaña de desmantelamiento en curso. Google ha deshabilitado cuentas, servicios y actualizado Play Protect.
- Confianza: Absoluta. Operación respaldada por la telemetría de Google Threat Intelligence, Black Lotus Labs (Lumen), Qurium y Synthient.
- Riesgo para SOC, TDIR y Redes: Alto. Aunque el objetivo principal son dispositivos domésticos, la presencia de estos dispositivos (como decodificadores Android) en redes corporativas, o de trabajadores en remoto, expone a la organización a infecciones secundarias (como botnets tipo Mirai) y al uso de sus IPs para enrutar tráfico criminal.
- Urgencia Operativa: Media/Alta. Se requiere auditoría de dispositivos no estándar conectados a la red y actualización de reglas perimetrales para detectar tráfico de proxies no autorizados.
- Base del Veredicto: Infección masiva impulsada por SDKs maliciosos incrustados en aplicaciones de transmisión pirata (streaming) y dispositivos Android TV no certificados, utilizados para la ofuscación de ataques cibernéticos.
Hallazgos Clave
- Alcance de la Botnet: La botnet Popa utiliza entre 1.5 y 2.5 millones de direcciones IP distintas al día, controladas por aproximadamente 250 a 300 dominios.
- Actores de Amenaza Involucrados: En solo una semana, se observó a 316 grupos de amenazas distintos (incluyendo actores de espionaje y cibercrimen) utilizando los nodos de salida de NetNut para ejecutar ataques de fuerza bruta contra contraseñas y ofuscar su infraestructura.
- Atribución: Múltiples investigaciones independientes (KrebsOnSecurity, Synthient, Qurium) vinculan la red Popa directamente con NetNut (filial de Alarum Technologies), desmintiendo que sea un modelo de uso “consensuado” de ancho de banda.
- Vínculo con Malware: Popa funciona como un componente de la botnet Vo1d, dirigida a decodificadores de TV no oficiales.
Análisis Técnico: Mecanismos de Infección y Abuso
El modelo operativo de esta amenaza se basa en la interceptación y monetización encubierta del tráfico:
- Infección Inicial (Vector de Entrada): Los usuarios instalan aplicaciones de transmisión de video pirata (como CRICFy, DooFlix o Flixoid) en dispositivos Android no oficiales. Estas aplicaciones incluyen de forma oculta el SDK de NetNut/Popa, o bien, los dispositivos ya vienen con el malware preinstalado de fábrica.
- Conversión a Nodo Proxy: Una vez activo, el SDK se comunica con la infraestructura C2 de backend de NetNut (ej. dominios como ninjatech[.]io). El dispositivo comprometido se inscribe silenciosamente en la red de proxy residencial.
- Impacto Operativo (Secuestro de Ancho de Banda y Ataques): La infraestructura maliciosa enruta el tráfico de cibercriminales a través de las direcciones IP de los dispositivos infectados. Esto permite a los atacantes eludir bloqueos geográficos o listas negras de IP mientras ejecutan ataques de fuerza bruta o DDoS, dejando a la víctima original como la aparente responsable del tráfico malicioso.
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
- Acceso Inicial: Infección de Cadena de Suministro (Supply Chain Compromise – T1195) en dispositivos preconfigurados, o Ejecución del Usuario (User Execution – T1204) al instalar aplicaciones piratas.
- Comando y Control: Uso de Proxy Multi-Salto (Multi-hop Proxy – T1090.003) para ofuscar el origen de las comunicaciones de los atacantes.
- Impacto: Secuestro de Recursos (Resource Hijacking – T1496) al utilizar el ancho de banda y la conexión de la víctima sin su consentimiento informado.
Recomendaciones Operativas
Para Administración de Redes y TI (Acción Prioritaria)
- Bloqueo de Dispositivos No Certificados: Prohibir estrictamente la conexión de decodificadores de TV (TV Boxes) no oficiales o dispositivos IoT personales no verificados en las redes corporativas (incluyendo redes Wi-Fi para invitados o esquemas BYOD).
- Filtrado de Aplicaciones: Asegurar que las políticas de Gestión de Dispositivos Móviles (MDM) prohíban la instalación de aplicaciones desde tiendas de terceros (sideloading) y mantengan Google Play Protect siempre activo en dispositivos Android corporativos.
Para el Centro de Operaciones de Seguridad (SOC)
- Monitoreo de Anomalías de Tráfico: Supervisar los registros de red en busca de dispositivos internos que generen volúmenes inusuales de tráfico saliente o que establezcan conexiones persistentes con servidores proxy/C2 residenciales conocidos.
- Bloqueo Perimetral: Incorporar la inteligencia compartida (IoCs de infraestructura de NetNut/Popa e IPIDEA) en las listas de bloqueo preventivo del firewall y sistemas de detección de intrusos (IDS/IPS).




