🛡 CIBERCRIMEN 🛡

Botnet 'Popa' vinculada a empresa israelí que cotiza en bolsa

⏰19 de junio de 2026🛡CyberObservatorio

Idioma

◢ CIBERCRIMEN ◣

Botnet 'Popa' vinculada a empresa israelí que cotiza en bolsa

⟫ 18/06/2026 ⟫ BrianKrebs

Fuente: Krebs on Security

Durante los últimos cuatro años, una extensa botnet basada en Android conocida como Popa ha obligado a millones de cajas de televisión de consumo a retransmitir tráfico de Internet vinculado a fraudes publicitarios, toma de cuentas y esfuerzos masivos de recopilación de datos. Esta semana, investigadores de múltiples empresas de ciberseguridad concluyeron que la botnet Popa está relacionada con NetNut, un proveedor de “proxy residencial” operado por la empresa israelí Alarum Technologies Ltd, que cotiza en el NASDAQ bajo el símbolo ALAR.

Popa se presenta como una botnet masiva, aunque se diferencia de las botnets tradicionales que suelen involucrar sistemas comprometidos en actividades destructivas, como coordinar grandes ataques de denegación de servicio distribuidos (DDoS). En cambio, Popa parece haber sido diseñada con un propósito singular: implementar una capa de comunicación persistente capaz de registrar un dispositivo, mantener conexiones encriptadas de larga duración y abrir túneles de comunicación bajo demanda.

Los expertos apuntan que Popa es un componente adicional asociado con la botnet Vo1d, una campaña de malware a gran escala que tiene como objetivo cajas de televisión basadas en Android no oficiales. Estos dispositivos, que se comercializan bajo miles de nombres de marca y números de modelo, están ampliamente disponibles en los principales destinos de comercio electrónico y prometen la capacidad de transmitir cientos de servicios de video por suscripción a cambio de un único pago inicial.

Sin embargo, como han advertido repetidamente el FBI y expertos de la industria de la seguridad, estas cajas de streaming generalmente vienen empaquetadas o preinstaladas con software que convierte el televisor del usuario en un “proxy residencial”, permitiendo que cualquier persona dirija su tráfico de Internet a través de ese dispositivo mientras permanezca conectado a la corriente y a una red local. Más preocupante aún, algunas de estas redes de proxy no hacen mucho para evitar que usuarios malintencionados se comuniquen y comprometan sistemas en la red local del propietario del dispositivo desprevenido.

Los primeros indicios sobre los orígenes de Popa surgieron en un informe de 2025 emitido por la empresa de seguridad china XLAB, que identificó al menos nueve nombres de dominio utilizados para registrar y dirigir las actividades de dispositivos comprometidos. En un informe publicado recientemente, la firma de seguridad Qurium describió cómo se topó con algunos de esos mismos dominios mientras investigaba una serie de eventos disruptivos y costosos de recopilación de datos que afectaron a las organizaciones hospedadas por la empresa en mayo de 2026, en los que la actividad de scraping se distribuyó de manera uniforme a través de más de 1,4 millones de direcciones de Internet.

Qurium reportó haber encontrado varios docenas de dominios utilizados para controlar Popa, todos ellos hospedados de manera sincronizada en múltiples direcciones de Internet a lo largo del tiempo, incluyendo gmslb[.]net, safernetwork[.]io, tera-home[.]com y ninjatech[.]io. Al profundizar más, Qurium descubrió que gmslb[.]net fue mencionado en docenas de aplicaciones de streaming de contenido de video pirata o modificadas, como CRICFy, DooFlix, Sprozfy, RTS Tv, Flixoid, CyberFlix, Rapid Streamz, TvMob y HD/OceanStreams.

El informe de Qurium señala que la mayoría de los dominios utilizados durante mucho tiempo para controlar la botnet Popa fueron incautados o desmantelados en julio de 2025, después de que Google, HUMAN Security y Trend Micro se unieran para interrumpir Badbox 2.0, una botnet estrechamente asociada con Vo1d. Qurium afirmó que inmediatamente después de esa interrupción, se registraron varios docenas de nuevos dominios para servir como controladores de la botnet Popa, pero que uno de esos dominios de control no era nuevo: ninjatech[.]io.

Ninjatech es una empresa fundada por Moishi Kramer, cuyo perfil de LinkedIn indica que es vicepresidente de investigación y desarrollo en NetNut. Este currículum acredita a Kramer por haber ayudado a construir NetNut desde sus cimientos, "diseñando la arquitectura" y "escalando NetNut" antes de que la empresa fuera adquirida por Alarum Technologies. Un anuncio auto-creado en la bolsa de trabajo F6S menciona a Kramer como el único propietario del dominio Ninjatech.

En respuesta a una consulta por correo electrónico, el Sr. Kramer afirmó que Ninjatech cesó operaciones hace aproximadamente cinco años, cuando la empresa vendió un kit de desarrollo de software (SDK) llamado Popa, diseñado para utilizar una pequeña parte del ancho de banda de un dispositivo y funcionar únicamente después de que la aplicación anfitriona obtuviera el consentimiento del usuario. "Ese código fue vendido y licenciado a terceros, incluidos revendedores, hace años", comentó Kramer. "Una vez que el software se distribuye de esa manera, el desarrollador original no tiene control sobre cómo otros lo modifican, renombran o implementan posteriormente".

Kramer aseguró que ni él ni NetNut construyen, operan o mantienen la infraestructura que se describe como Popa, ni controla el dominio Ninjatech. "No registré los dominios de junio de 2025 que mencionas, y no sé quién lo hizo", continuó. "No tengo control sobre, ni visibilidad de, esa infraestructura. Solo puedo decirte que no es operada por mí ni por NetNut".

Sin embargo, en un informe de investigación separado sobre Popa publicado hoy, la empresa de seguimiento de proxies Synthient afirmó que un análisis reciente del SDK de Popa reveló tráfico saliente claramente asociado con NetNut. "El equipo de investigación estima con alta confianza que los dispositivos que ejecutan Popa reenvían tráfico de clientes de NetNut", escribió Synthient. "Esto prueba sin lugar a dudas que Popa sigue siendo utilizado activamente por NetNut como parte de su grupo de proxies".

Alarum Technologies, la empresa matriz de NetNut con sede en Tel Aviv, declaró que los informes de Synthient y Qurium contenían "afirmaciones demostrablemente inexactas y deducciones erróneas en lugar de hechos verificados". Alarum compartió una declaración en la que rechazan la caracterización básica de los SDK y tecnologías discutidos en los informes como una "botnet".

Los SDK en cuestión están diseñados para facilitar la funcionalidad de compartición de ancho de banda y no convierten los dispositivos de los usuarios en sistemas controlados por malware ni comprometen de ninguna manera los dispositivos en los que operan. Así lo afirma NetNut, que opera una red de proxies comerciales y mantiene políticas, procedimientos y medidas tecnológicas orientadas a promover un uso legal y responsable de sus servicios.

Alarum, una empresa de análisis de seguridad, destacó que NetNut otorga “una gran importancia a los mecanismos de aviso y consentimiento apropiados, realiza una debida diligencia sobre sus clientes, monitorea posibles usos indebidos y toma medidas destinadas a detectar y mitigar actividades sospechosas o no autorizadas”. Esta operación está respaldada tanto por procedimientos y políticas internas, como por la implementación de medidas tecnológicas que facilitan la identificación y el abordaje de posibles abusos en la red de proxies.

Sin embargo, en un informe publicado el 8 de junio, el servicio de rastreo de proxies Spur afirmó que NetNut no exige verificación corporativa ni procedimientos significativos de “conoce a tu cliente” (KYC) antes de permitir que los clientes adquieran acceso a proxies. Según Spur, “un individuo puede registrarse, pagar y dirigir tráfico a través de direcciones de socios, incluyendo aquellas de instituciones cuyos usuarios nunca dieron su consentimiento”. La afirmación de que solo las “corporaciones verificadas” pueden acceder es, según Spur, simplemente una estrategia de marketing para los vendedores de ancho de banda, y no un control de acceso sobre quién utiliza realmente los proxies.

Además, Spur señaló que NetNut no es la única puerta de entrada. Varios revendedores y etiquetadores de marca blanca reempaquetan la misma pool de proxies de ISP bajo sus propias marcas. Estos outlets, por lo general, no realizan ningún tipo de verificación KYC, lo que implica un menor escrutinio que el que aplica NetNut, que al menos podría asignar un gestor de cuentas a los potenciales usuarios. Cualquiera que sepa dónde buscar puede comprar acceso a través de un revendedor con tan solo una dirección de correo electrónico desechable y cinco dólares en criptomonedas.

Synthient, por su parte, descubrió que aunque las versiones más recientes de Popa (hasta hace tres meses) han incorporado la capacidad de solicitar el consentimiento del usuario antes de instalar componentes de proxy, no todas las variantes o versiones anteriores de Popa cuentan con esta funcionalidad. De los más de 20 editores genuinos de Popa analizados, ninguno de ellos fue observado solicitando el consentimiento del usuario.

Chris Formosa, ingeniero principal de seguridad de la información en Black Lotus Labs, una división del proveedor de infraestructura de Internet Lumen Technologies, señaló que lo que hace especialmente peligroso a Popa es la amplitud de uso que tiene NetNut para la reventa y el compartimiento de proxies. Muchos otros servicios de proxy simplemente revenden proxies de NetNut en lugar de construir sus propias redes. “Por lo tanto, estas IPs de Popa aparecen en numerosos servicios en todo el ecosistema, lo que lo convierte en uno de los botnets de proxy más problemáticos y peligrosos actualmente en el mercado”, explicó Formosa.

El botnet de Popa promedia entre 1,5 millones y 2,5 millones de direcciones IP distintas cada día, dependiendo de entre 250 y 300 direcciones de Internet que se utilizan para dirigir sus actividades. “Por eso Popa es tan peligroso”, afirmó Formosa. “Puede que no sea el botnet más grande que hemos visto, pero su presencia está muy extendida en la industria, lo que amplifica su poder”.

A pesar de que eso hace de Popa uno de los botnets más grandes en la actualidad, sus cifras palidecen en comparación con las que anteriormente presumía IPIDEA, un proveedor de proxies con sede en China que hasta hace poco operaba una pool diaria de casi 10 millones de dispositivos que revendía como proxies a cualquier interesado. En enero de 2026, Synthient publicó investigaciones que mostraban que múltiples nuevos grandes botnets DDoS habían crecido rápidamente al canalizarse a través de proxies de IPIDEA en las redes locales de propietarios de cajas de televisión desprevenidos, infectando otros dispositivos basados en Android detrás del firewall del usuario.

IPIDEA se basa en gran medida en SDK utilizados para visualizar contenido de streaming pirateado en un vasto número de dispositivos de cajas de televisión, pero el número de sus dispositivos ha disminuido desde enero, cuando Google y sus socios de la industria tomaron acciones legales para incautar nombres de dominio que IPIDEA utilizaba para controlar dispositivos y dirigir el tráfico a través de ellos.

Jérôme Meyer, investigador de seguridad en Nokia Deepfield, indicó que la población total de dispositivos que participan en el botnet de Popa podría ser considerablemente mayor que las estimaciones de Lumen. Meyer comunicó a KrebsOnSecurity que Nokia está monitoreando 26 de al menos 359 nodos de retransmisión conocidos para el botnet, y estima que cada nodo maneja entre 35,000 y 60,000 clientes simultáneamente. “En el subconjunto de nodos de retransmisión que estoy analizando (26 de ellos), se registraron 750,000 fuentes únicas en 24 horas”, escribió Meyer en respuesta a preguntas.

Nokia Deepfield publicó hoy su propio informe sobre RoboVPN, una aplicación de VPN vinculada al complemento Popa del botnet Vo1d, que Qurium atribuye a NetNut/Alarum Technologies.

Expertos indican que muchos de los mayores proveedores de proxies del mundo han actualizado su imagen pública para resaltar su utilidad en la formación de plataformas de inteligencia artificial, implicando que es un caso de uso principal para sus proxies residenciales. Esto se debe a que los servicios de inteligencia artificial tienden a depender de la recopilación masiva de contenido de texto, imágenes y videos de la web que pueden ser utilizados para entrenar grandes modelos de lenguaje (LLMs).

NetNut y otros servicios de proxy se han reposicionado como infraestructura crítica para la economía de raspado de inteligencia artificial. Un informe de Include Security, publicado este mes, subraya que “las empresas de IA dependen del contenido extraído de la web: para el preentrenamiento, para la recuperación, para la fundamentación de agentes, para la búsqueda”. “Pero la web moderna no es raspable desde un centro de datos. Cloudflare, DataDome, HUMAN, entre otros, limitan o bloquean solicitudes desde IPs de nube conocidas. La solución alternativa son los proxies residenciales. Un trabajo de raspado que se dirige a través de la conexión de un suscriptor de Comcast o T-Mobile llega al sitio objetivo desde una IP que pertenece a un cliente residencial que paga”.

La actividad de raspado de contenido no cesa y ha dado lugar a más de 70 demandas por infracción de derechos de autor contra importantes empresas tecnológicas, que han reconocido el raspado de datos a gran escala como una fuente principal de la inteligencia que alimenta sus ofertas comerciales de inteligencia artificial (IA). Paradójicamente, gran parte de este raspado se ve facilitado por servicios de proxy que están íntimamente relacionados con cajas de Android TV no oficiales y sus respectivos kits de desarrollo (SDK), cuyo propósito declarado es la transmisión de contenido pirata.

Este fenómeno de raspado ha alcanzado niveles tan agresivos que a menudo abrumará a los sitios web objetivo, impidiendo que los visitantes legítimos puedan acceder a ellos. En numerosos casos reportados, organizaciones sin ánimo de lucro, bibliotecas y universidades han expresado su preocupación por la constante lucha para mantener sus servicios operativos ante la incesante actividad de empresas de raspado de datos que se esconden detrás de servicios de proxy residenciales.

Un estudio realizado el año pasado por la Confederación de Repositorios de Acceso Abierto (COAR) reveló que, si bien algunos bots de raspado de contenido son relativamente inofensivos, otros son lo suficientemente agresivos como para causar cada vez más interrupciones en los servicios de los repositorios y otras infraestructuras de comunicación académica. Más del 90% de los encuestados indicaron que su repositorio se enfrenta a bots agresivos, generalmente más de una vez a la semana, lo que frecuentemente conduce a ralentizaciones y caídas del servicio.

El experto en plataformas Brendan O’Connell, director de la Directory of Open Access Journals (DOAJ), un índice gratuito y comunitario de revistas académicas revisadas por pares, comentó: “El raspado web automatizado no es nada nuevo y ha sido la tecnología clave que sustenta motores de búsqueda como Google durante más de 30 años. Sin embargo, la actual fiebre de startups de IA impulsada por inversores ha llevado a que miles de empresas bien financiadas desarrollen y desplieguen sus propias herramientas de raspado para entrenar modelos de IA, junto a los gigantes del sector como OpenAI y Google”.

En Estados Unidos, las comunidades locales están resistiendo la proliferación de nuevos centros de datos destinados principalmente a mejorar las capacidades de la IA. Sin embargo, los expertos en seguridad advierten que el público en general permanece en gran medida ajeno a que el uso de estas cajas de Android TV no autorizadas implica que su “smart TV” está utilizando, casi con certeza, una cantidad significativa de ancho de banda cada mes para ayudar a entrenar modelos modernos de IA.

Incluso en hogares que no poseen estas cajas de TV dudosas, los televisores inteligentes pueden convertirse en nodos de proxy residenciales simplemente al descargar una de las miles de aplicaciones disponibles en los televisores inteligentes de Samsung y LG. Spur, una empresa de ciberseguridad, afirmó haber analizado recientemente las tiendas de aplicaciones de LG y Samsung, encontrando que cada una ofrecía aproximadamente 3,000 aplicaciones para descargar. Muchas de estas aplicaciones son juegos simples o utilidades que indican en la letra pequeña que la conexión a Internet del usuario será utilizada para descargar datos, con la opción de optar por no participar en cualquier momento.

Spur descubrió que más del 42% de las aplicaciones disponibles para descarga a través del sistema operativo webOS en los televisores LG incluyen SDK que convierten el televisor en un nodo de proxy residencial siempre activo. Además, más de una cuarta parte de las aplicaciones diseñadas para el sistema operativo Tizen de Samsung también contenían componentes de proxy residencial, según los hallazgos de Spur.

Los expertos cuestionan si las aplicaciones de TV con SDK de proxy pueden obtener un consentimiento significativo de los usuarios para instalar una conexión de proxy siempre activa, especialmente cuando cualquier persona en el hogar —incluidos los niños— puede, de hecho, incluir a la televisión familiar en una red de proxy residencial simplemente al instalar un juego o aplicación sencilla.

“Incluir una divulgación de política de privacidad es el control equivocado para un televisor”, afirmó Include Security. “Es complicado desplazarse por un documento legal utilizando las teclas de flecha de un mando a distancia, y el diálogo de consentimiento en la aplicación no transmite que un cliente que paga está a punto de redirigir su tráfico de raspado a través de la conexión a Internet del hogar”.

El director de investigación de Spur, Sean Simmons, declaró a KrebsOnSecurity que la mayoría de las personas no tienen un modelo mental claro sobre lo que significa vender acceso a su dirección IP residencial, sin importar el dispositivo que estén utilizando. “Y en un televisor, la brecha es aún mayor”, comentó Simmons. “Un aviso único que se navega con un mando puede desaparecer en el flujo de configuración, mientras que la aplicación sigue monetizando la conexión mucho después de que alguien recuerde lo que aceptó”.

Simmons sugirió que LG y Samsung deberían seguir el ejemplo de otras plataformas de televisores que ya han trazado una línea contra los proveedores de proxies residenciales, citando políticas de Amazon que prohíben aplicaciones que faciliten servicios de proxy para terceros. De igual manera, se ha informado que el fabricante de dispositivos de streaming Roku también ha prohibido a los desarrolladores utilizar SDK de proxy y ha eliminado aplicaciones que los integran.

Las aplicaciones que convierten un dispositivo en un nodo de proxy residencial no se limitan a los televisores inteligentes y cajas de streaming de marcas desconocidas. Como señaló la firma de seguridad Infoblox, los desarrolladores de aplicaciones móviles pueden integrar SDK proporcionados por redes de proxy residenciales en sus productos para monetizar su software, permitiéndoles recibir una pequeña cantidad de dinero por cada instalación.

El resultado, según Infoblox, es que los dispositivos son frecuentemente inscritos sin el conocimiento del propietario, típicamente a través de aplicaciones gratuitas como VPN, aplicaciones de streaming, salvapantallas y aplicaciones de “productividad” como visores de PDF y recordatorios de descanso.

Con una frecuencia alarmante, estos servicios de proxy están emitiendo señales desde los dispositivos de los empleados llevados al lugar de trabajo, según descubrió Infoblox. En una publicación de blog a principios de este mes, Infoblox informó haber encontrado que el 65% de su base de clientes estaba consultando uno o más dominios relacionados con proxies residenciales. “Observamos un crecimiento constante en estas consultas en 2025, con un aumento del 25% durante el año, alcanzando más de 500 mil millones por mes”, indicó Infoblox. “Más del 90% de nuestros clientes del sector farmacéutico y de alimentos y bebidas han consultado indicadores de proxy residencial. Quizás lo más preocupante es que más del 60% de nuestros clientes del gobierno y la banca también lo han hecho”.

Investigadores de Infoblox, Nick Sundvall y David Brunsdon, han alertado sobre los peligros que representan los proxies residenciales en entornos corporativos, ya que estos pueden otorgar acceso externo al espacio IP de una organización. Según sus declaraciones, el uso indebido de un proxy residencial por parte de actores maliciosos podría permitir que estos lancen ataques contra terceros. En tal escenario, la respuesta a incidentes de la parte afectada identificaría, de manera correcta, el proxy residencial como el origen del ataque.

Desenredar esta situación puede resultar complicado, ya que la empresa afectada tendría que demostrar que actuó como un mero conducto de la actividad maliciosa y no como el perpetrador del ataque. Este proceso no solo consume tiempo, sino que también puede generar una exposición legal significativa y dañar la reputación de la organización implicada. La alarmante prevalencia de estos servicios en los entornos de los clientes exige una atención urgente tanto por parte de los defensores de redes como de los responsables de políticas de seguridad. Es esencial que se evalúen los riesgos que los proxies residenciales representan y cómo estos pueden influir negativamente en la postura de seguridad de las organizaciones. La gestión proactiva de estos riesgos se vuelve crucial para mitigar las posibles repercusiones en la integridad y confianza corporativa.

◢ CIBERCRIMEN ◣

‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm

⟫ 18/06/2026 ⟫ BrianKrebs

Source: Krebs on Security

For the past four years, a sprawling Android-based botnet calledPopahas forced millions of consumer TV boxes to relay Internet traffic linked to advertising fraud, account takeovers, and mass data-scraping efforts. This week, researchers from multiple security firms concluded that the Popa botnet is linked toNetNut, a “residential proxy” provider operated by the publicly-traded Israeli firmAlarum Technologies Ltd[NASDAQ: ALAR]. Malicious streaming devices sold online that enroll the user’s home Internet address in a residential proxy service. Image: HUMAN Security. Popa is a massive botnet, but by all accounts it is unlike traditional botnets that enlist compromised systems in destructive activities, such as coordinating huge distributed denial-of-service attacks. Rather, Popa appears designed with a singular purpose: Implementing a persistent communications layer capable of registering a device, maintaining long-lived encrypted connections, and opening communication tunnels on demand. Experts say Popa is a plugin component associated with theVo1dbotnet, a large-scale malware campaign targeting unofficial Android-based TV boxes. These devices, which are marketed under thousands of brand names and model numbers and broadly available for purchase at top e-commerce destinations, all advertise the ability to stream hundreds of subscription video services for an up front one-time fee. But as the FBI and security industry experts have warned repeatedly, these streaming boxes typicallybundle or come pre-installed with softwarethat turns the user’s TV into a “residential proxy” — allowing anyone to route their Internet traffic through that device for as long as it remains plugged into a wall socket and connected to a local network. More concerning, some of these proxy networks do little to stop malicious customers from communicating with and even compromising systems on the local network of the unsuspecting device owner. The first clues about Popa’s origins came ina 2025 reportfrom the Chinese security companyXLAB, which flagged at least nine domain names that were used to register and direct the activities of compromised devices. Ina reportreleased today, the security firmQuriumdescribed how it stumbled on some of those same domains while investigating a series of disruptive and expensive data scraping events targeting the company’s hosted organizations in May 2026, in which the scraping activity was scattered evenly across more than 1.4 million Internet addresses. Qurium said it found several dozen domains used to control Popa that were all hosted in lockstep across multiple Internet addresses over time, includinggmslb[.]net, safernetwork[.]io, tera-home[.]com, andninjatech[.]io. Digging deeper, Qurium discovered gmslb[.]net was referenced in dozens of pirated or modded video content streaming apps, such asCRICFy,DooFlix,Sprozfy,RTS Tv,Flixoid,CyberFlix,Rapid Streamz,TvMobandHD/OceanStreams. Qurium’s report notes that most of the domains long used to control the Popa botnet wereseized or dismantled in July 2025, afterGoogle,HUMAN SecurityandTrend Microteamed up to disruptBadbox 2.0, a botnet that is closely associated with Vo1d. Qurium said that immediately after that disruption, several dozen new domains were registered to serve as controllers for the Popa botnet, but that one of those control domains was not new:ninjatech[.]io. Ninjatech is a company founded byMoishi Kramer, whoseLinkedIn profilesays he is vice president of research and development at NetNut. That resume credits Kramer for helping NetNut to build from the “ground up,” “designing the architecture,” and “scaling the NetNut” before the company was acquired by Alarum Technologies. A self-created listing at the job boardF6Sreferences Krameras the sole owner of the Ninjatech domain (a screen capture of it is pictured below). Image: F6S.com. Responding via email, Mr. Kramer said Ninjatech ceased operations approximately five years ago, when the company sold a software development kit (SDK) called Popa that was designed to use a small portion of a device’s bandwidth and to run only after the host application obtained user consent. “That code was sold and licensed to third parties including resellers years ago,” Kramer said. “Once software is distributed that way, the original developer has no control over how others later modify, rebrand, or deploy it.” Kramer said neither he nor NetNut builds, operates or maintains the infrastructure being described as Popa, nor does he control the Ninjatech domain. “I didn’t register the June 2025 domains you mention, and I don’t know who did,” he continued. “I have no control over, or visibility into, that infrastructure. I can only tell you it isn’t operated by me or by NetNut.” But ina separate Popa research reportreleased today, the proxy-tracking companySynthientsaid a recent analysis of the Popa SDK revealed outbound traffic clearly associated with NetNut. “The research team assesses with high confidence that devices running Popa forward traffic from Netnut clients,” Synthient wrote. “This proves without a shadow of a doubt that Popa actively continues to be used by NetNut as part of their proxy pool.” Synthient’s platform receiving outbound traffic from Popa. Image: Synthient.com. Alarum Technologies, NetNut’s Tel Aviv-based parent company, said the reports by Synthient and Qurium contained “demonstrably inaccurate assertions and flawed deductions rather than verified facts.” Alarum shared a statement saying they reject the basic characterization of the SDKs and technologies discussed in the reports as a “botnet.” “The SDKs at issue are designed to facilitate bandwidth-sharing functionality and do not transform user devices into malware-controlled systems or otherwise compromise the devices on which they operate,” the statement reads. “Netnut operates a commercial proxy network and maintains policies, procedures, and technological measures designed to promote lawful and responsible use of its services.” Alarum said NetNut places “significant emphasis on appropriate notice and consent mechanisms, conducts customer due diligence, monitors for potential misuse, and takes steps intended to detect and mitigate suspicious or unauthorized activity.” “This method of operation is supported both by internal procedures and policies, including performing KYC checks and additional due diligence of NetNut’s customers, as well as employing various technological measures, designed to assist in identifying and addressing suspected misuse of the network,” their statement continued. However, in a report released on June 8, the proxy tracking serviceSpurasserted that NetNut does not require corporate verification or meaningful “know your customer” procedures before allowing customers to purchase proxy access. “An individual can sign up, pay, and route traffic through partner address space, including space belonging to institutions whose users never opted in,” Spurwrote. “The ‘verified corporations only’ claim is simply marketing for bandwidth sellers, not an access control on who actually uses the proxies.” “Nor is NetNut the only front door,” Spur continued. “A number of downstream white labelers and resellers repackage the same ISP proxy pool under their own brands. These outlets typically perform no KYC at all, less scrutiny than NetNut itself, who at the very least might assign an account manager to potential users. Anyone who knows where to look can buy access through a reseller with nothing more than a burner email address and $5 in crypto.” Synthient found that although the most recent builds of Popa (as of three months ago) have added the ability to ask the user for consent before installing proxy components, not all variants or previous versions of Popa contain this functionality. “Of the over 20 genuine Popa publishers analyzed, none of them were observed asking for user consent,” Sythient wrote. Chris Formosais senior lead information security engineer forBlack Lotus Labs, a division of the Internet backbone carrierLumen Technologies. “What especially makes Popa dangerous is just how widely used NetNut is for reselling and sharing,” Formosa said, explaining that many other proxy services simply resell NetNut proxies rather than building out their own far-flung proxy networks. “So these Popa IPs appear in tons of different services all over the ecosystem, which makes it one of the most problematic and dangerous proxy botnets on the market currently.” Formosa said the Popa botnet averages between 1.5 million to 2.5 million distinct IP addresses each day, relying on between 250 and 300 Internet addresses that are used to direct its activities. “That’s why Popa is so dangerous,” Formosa said. “It may not be the largest botnet we have seen, but it is spread all over the industry, making its power very amplified.” Formosa said while that makes Popa one of the larger botnets out there today, its numbers pale in comparison to those previously boasted byIPIDEA, a China-based proxy provider that until recently operated a daily pool of nearly 10 million devices that they resold as proxies to anyone. In January 2026, Synthientpublished researchshowing that multiple new large DDoS botnets had grown rapidly by tunneling through IPIDEA proxies into the local networks of unsuspecting TV box owners and infecting other Android-based devices behind the user’s firewall. IPIDEA is based largely on SDKs used to view pirated streaming content on a vast number of TV box devices, but the service’s numbers have dwindled since January, when Google and industry partnerstook legal actionto seize domain names that IPIDEA used to control devices and proxy traffic through them. Jérôme Meyer, a security researcher atNokia Deepfield, said the total population of devices participating in the Popa botnet may be far higher than Lumen’s estimates. Meyer told KrebsOnSecurity that Nokia is monitoring 26 of at least 359 known relay nodes for the botnet, and estimates that each relay node handles between 35,000 and 60,000 clients simultaneously. “On the relay node subset I am looking at (26 of them), 750,000 unique sources in 24 hours,” Meyer wrote in response to questions. Nokia Deepfieldreleased its own report todayonRoboVPN, a VPN app tied to the Vo1d botnet’s Popa plugin that Qurium attributes to NetNut/Alarum Technologies. Experts say many of the world’s largest proxy providers have updated their public-facing branding to highlight their utility for training AI platforms, implying it is a primary use case for their residential proxies. That’s because AI services tend to rely on constantly mass-scraping the Internet for new text, images and video content that can be used to train large language models (LLMs). NetNut and other proxy services have recast themselves as critical infrastructure for the AI scraping economy. Image: Synthient.com. “AI companies depend on web-scraped content: for pre-training, for retrieval, for agent grounding, for search,” readsa reportthis month fromInclude Securitythat examines the prevalence of proxy SDKs in smart TV apps. “But the modern web isn’t scrapeable from a datacenter. Cloudflare, DataDome, HUMAN, among others throttle or block requests from known cloud IPs. The workaround is residential proxies. A scraping job routed through a Comcast or T-Mobile subscriber’s connection arrives at the target site from an IP that belongs to a paying residential customer.” This non-stop content scraping has spawnedmore than 70 copyright infringement lawsuitsagainst major tech companies that have acknowledged large-scale data scraping as a major source of the “brains” behind their commercial AI offerings. Ironically, much of that scraping is being aided by proxy services that are intimately tied to unofficial Android TV boxes and associated SDKs whose stated purpose is streaming pirated content. The scraping activity has become so aggressive that it often overwhelms the targeted websites, preventing them from being reachable by legitimate visitors. In many reported cases, nonprofit organizations, libraries and universities have complained of constantly battling to keep their services online in the face of relentless data-scraping firms hiding behind residential proxy services. A survey conducted last year by theConfederation of Open Access Repositories(COAR)foundwhile some content scraping bots are rather innocuous, “others are sufficiently aggressive that they are increasingly causing service disruptions in repositories and other scholarly communications infrastructures.” More than 90 percent of survey respondents indicated their repository is encountering aggressive bots, usually more than once a week, and often leading to slow downs and service outages. “Automated web scraping is nothing new, and has been the key technology underlying search engines such as Google for over 30 years,”wroteBrendan O’Connell, platform manager at theDirectory of Open Access Journals(DOAJ), a free, community-curated index of peer-reviewed academic journals. “However, the current investor-fueled AI startup craze means there are now thousands of well-funded companies developing and deploying their own scraping tools to train AI models, alongside existing major players like OpenAI and Google.” Across the United States, local communities are pushing back against the proliferation of new data centers aimed primarily at improving the capabilities of AI. But security experts say the general public remains largely unaware that using one of these unsanctioned Android TV boxes means their “smart TV” is almost certainly using a significant amount of bandwidth each month to help train modern AI models. Even households without these sketchy TV boxes can still have their smart TVs turned into residential proxy nodes, just by downloading one of thousands of apps made available onSamsungandLGsmart TVs. Spur said it recently scraped the LG and Samsung app stores and found that each had approximately 3,000 apps available for download. Many of these apps are simple games or utilities that state in the fine print that the user’s Internet connection will be used to download data and that they can opt out at any time. Spur said it found thatmore than 42 percent of apps available for download via thewebOSoperating system onLGsmart TVs include SDKs that turn one’s television into an always-on residential proxy node.More than a quarter of the apps made for Samsung’sTizenoperating system had similar residential proxy components, Spur found. Image: Spur.us. Experts say it’s questionable whether TV apps with proxy SDKs can obtain meaningful consent from users for installing an always-on proxy connection, particularly when anyone in a household — including children — can effectively opt the family TV into a residential proxy network just by installing a simple game or app. “Privacy-policy disclosure is the wrong control surface for a TV,” Include Security wrote. “It is hard to scroll through a legal document navigated by arrow keys on a remote, and the in-app consent dialog doesn’t convey that a paying customer is about to route their scraping traffic through the user’s home internet.” Spur’s head of researchSean Simmonstold KrebsOnSecurity that most people do not have a working mental model for what it means to sell access to their residential IP address, no matter what device they are using. “And on a TV, the gap is even wider,” Simmons said. “A one-time prompt navigated with a remote can disappear into the setup flow, while the app keeps monetizing the connection long after anyone remembers what they accepted.” Simmons said LG and Samsung should follow the lead of other TV platforms that have already drawn a line against residential proxy providers, pointing to policies byAmazonthat prohibit apps facilitating proxy services for third parties. Likewise the TV streaming device makerRokureportedly now bars developers from using proxy SDKs and has removed apps that bundled them. Piracy related apps pushing proxy SDKs onto unconsenting users. Image: Synthient. Apps that turn one’s device into a residential proxy node are not limited to smart TVs and no-name streaming boxes, of course. As noted by the security firmInfoblox, mobile app developers can embed SDKs provided by the residential proxy networks into their products to monetize their software, allowing them to receive a small amount of money on each installation. The result, Infoblox said, is that devices are frequently enrolled without the owner’s knowledge, typically through free applications such as VPNs, streaming apps, screensavers and “productivity” apps such as PDF viewers and break reminders. All too often, these proxy services are beaconing out from employee devices brought into the workplace, Infoblox found. In a blog post earlier this month, Infoblox said it discovered that fully 65% of its customer base was querying one or more residential proxy related domains. “We saw steady growth in these queries in 2025, with a 25% increase over the year to over 500 billion per month,” Infobloxwrote. “Over 90% of our pharmaceutical and food & beverage customers have queried residential proxy indicators. Perhaps even more concerning is that over 60% of government and banking customers have as well.” Infoblox researchersNick SundvallandDavid Brunsdonwarned that with residential proxies in the corporate environment, external access is granted to an organization’s IP space. “If threat actors were to abuse the residential proxy to attack a third party, the third party’s incident response would, correctly, identify your residential proxy as the source,” they wrote. “Untangling that, by proving that you were the conduit and not the threat actor, costs time, creates legal exposure, and can damage your reputation. The stunning prevalence of these services within customer environments warrants attention from both network defenders and policy makers who should consider how the risks posed by residential proxies could be impacting their security posture.”

𝐗 Twitter f Facebook ☎ WhatsApp ✈ Telegram

← VOLVER A CIBERSEGURIDAD