UAFF

Google заблокував NetNut: проксі-мережа у шкідливих операціях

Google у липні 2026 року порушив роботу NetNut — ізраїльської проксі-мережі, яку зловмисники використовували для поширення malware. Що це означає для арбітражників.

Google заблокував NetNut: проксі-мережа у шкідливих операціях

Google зламав інфраструктуру NetNut, пов'язану з malware

2 липня 2026 року Google оголосив про успішне порушення роботи NetNut — комерційної проксі-мережі ізраїльського походження, яку кіберзлочинці активно використовували в операціях із розповсюдження шкідливого програмного забезпечення. За даними Reuters, Google Threat Intelligence Group задокументувала, як через інфраструктуру NetNut маршрутизувався трафік, що дозволяв зловмисникам приховувати справжнє походження шкідливих запитів за легітимними IP-адресами реальних користувачів.

Як NetNut потрапив у схему malware-операцій

NetNut позиціонує себе як легальний провайдер residential proxy для бізнесу. Проблема в тому, що residential-проксі за своєю природою виглядають як звичайні домашні IP-адреси, і саме це робить їх привабливими не тільки для маркетологів, але й для тих, хто хоче обійти системи виявлення загроз.

У цьому конкретному випадку зловмисники використовували вузли мережі NetNut для маскування C2-комунікацій (command-and-control), тобто каналів керування зараженими пристроями. Фактично, трафік між зараженою машиною і сервером зловмисника проходив через IP-адреси реальних абонентів NetNut, що суттєво ускладнювало його виявлення стандартними засобами захисту.

Це не перший подібний прецедент у галузі. Residential proxy-мережі регулярно опиняються в центрі розслідувань саме через те, що модель їхньої роботи, монетизація пропускної здатності пристроїв рядових користувачів, відкриває структурні вразливості для зловживань.

Що зробив Google і чому це важливо

Google не просто зафіксував загрозу, а активно порушив технічну інфраструктуру, через яку відбувалися malware-операції. Конкретні технічні деталі блокування в публічному звіті не розкриваються повністю, але Reuters підтверджує: дія призвела до реального припинення роботи каналів зв'язку, що використовувалися зловмисниками.

Для ринку це значимий сигнал. Google дедалі активніше виходить за межі захисту власних продуктів і діє як суб'єкт, що втручається в інфраструктуру зовнішніх провайдерів, якщо ті опиняються в ланцюжку кібератак. Це розширення периметру відповідальності, і воно матиме наслідки для всього сегмента проксі-сервісів.

Що це означає для арбітражників і медіабаєрів

Арбітражники, які використовують residential proxy для роботи з антидетект-браузерами, мультиакаунтингу або верифікації крео в різних ГЕО, мають зробити кілька практичних висновків із цієї ситуації.

По-перше, репутація провайдера проксі тепер пов'язана з операційними ризиками напряму. Якщо мережа потрапляє у звіти Google або Microsoft як така, що фігурує у malware-кампаніях, це майже гарантовано веде до масових блокувань IP-діапазонів на рівні платформ. Ваші акаунти в рекламних системах можуть постраждати не через власні дії, а через репутацію конкретного ASN або підмережі.

По-друге, ця ситуація підкреслює важливість правильної конфігурації антидетект-браузера в парі з якісним проксі. Інструменти на кшталт OctoBrowser, GoLogin або Dolphin Anty самі по собі не захищають від проблем, якщо під ними лежать скомпрометовані IP-адреси. Браузерний фінгерпринт і проксі — це два компоненти одного ланцюга, і слабка ланка вбиває весь профіль.

По-третє, подія ще раз нагадує про актуальність фрод-менеджменту у закупці трафіку. Якщо ви купуєте трафік через мережі, що використовують residential proxy для ротації, частина цього трафіку теоретично може проходити через вузли, пов'язані з ботнет-активністю. Докладніше про те, як захистити бюджет від таких ризиків, читайте у нашому матеріалі про фрод-менеджмент у закупці трафіку 2026.

Окремо варто згадати про трекінг. В умовах, коли проксі-інфраструктура стає предметом активної уваги великих платформ, коректна атрибуція трафіку набуває ще більшого значення. Трекери на кшталт Keitaro, Binom або Voluum дозволяють відстежувати, звідки реально приходять конверсії, і швидко виявляти аномалії, які можуть свідчити про проблеми з якістю трафіку.

Ширший контекст: індустрія проксі під тиском

Ситуація з NetNut — частина ширшої тенденції. Протягом 2025-2026 років кілька великих residential proxy-провайдерів потрапили під розслідування або отримали масові блокування через зловживання третіх сторін. Платформи Meta, Google і TikTok системно посилюють виявлення трафіку через «сірі» проксі-мережі, і вартість помилки для арбітражника зростає.

Особисто я б зараз подвоїв увагу до того, через які ASN проходить трафік у моїх кампаніях, і переглянув би список проксі-провайдерів на предмет згадок у публічних звітах про кіберзагрози. Це не параноя, а базова операційна гігієна в 2026 році.

Для тих, хто працює з рекламними мережами і хоче мінімізувати ризики, пов'язані з якістю трафіку, варто звернути увагу на платформи з власними системами антифроду, зокрема EVADAV, HilltopAds та ClickAdilla. Ці мережі інвестують у верифікацію трафіку, що знижує ризик отримати скомпрометований інвентар.

Розслідування Reuters підготував Джубі Бабу з Мехіко.