‘Popa’ 僵尸网络被证实与某上市以色列公司有关‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm

过去四年来，一个名为 Popa 的庞大 Android 僵尸网络控制了数百万台消费级电视机顶盒，迫使它们中转与广告欺诈、账户接管和大规模数据抓取相关的互联网流量。本周，多家安全公司的研究人员得出结论，Popa 僵尸网络与 NetNut 有关，后者是一家由以色列上市公司 Alarum Technologies Ltd [NASDAQ: ALAR] 运营的“住宅代理”提供商。

网上出售的恶意流媒体设备会将用户的家庭互联网地址注册到住宅代理服务中。图片来源：HUMAN Security。

Popa 是一个庞大的僵尸网络，但众所周知，它不同于那些利用受感染系统参与破坏性活动（例如协调大规模分布式拒绝服务攻击）的传统僵尸网络。相反，Popa 的设计似乎只有一个目的：实现一个持久的通信层，能够注册设备、维持长期加密连接，并按需开启通信隧道。

专家表示，Popa 是与 Vo1d 僵尸网络相关的一个插件组件，Vo1d 是一场针对非官方 Android 电视机顶盒的大规模恶意软件活动。这些设备以数千种品牌名称和型号进行销售，在各大顶级电商平台上广泛有售，它们都宣称只需支付一次性预付费用即可流式传输数百项订阅视频服务。

但正如 FBI 和安全行业专家反复警告的那样，这些流媒体机顶盒通常会捆绑或预装软件，将用户的电视变成“住宅代理”——只要设备插在墙壁插座上并连接到本地网络，任何人都可以通过它来路由其互联网流量。更令人担忧的是，其中一些代理网络几乎没有采取任何措施来阻止恶意客户与不知情的设备所有者本地网络上的系统进行通信，甚至对其发动攻击。

关于 Popa 起源的最初线索来自中国安全公司 XLAB 于 2025 年发布的一份报告，该报告标记了至少九个用于注册和指挥受感染设备活动的域名。在今天发布的一份报告中，安全公司 Qurium 描述了它是如何在调查 2026 年 5 月针对其托管组织的一系列具有破坏性且代价高昂的数据抓取事件时，偶然发现其中一些相同域名的。在这些事件中，抓取活动均匀地分布在超过 140 万个互联网地址上。

Qurium 表示，它发现了数十个用于控制 Popa 的域名，随着时间的推移，这些域名全部步调一致地托管在多个互联网地址上，包括 gmslb[.]net、safernetwork[.]io、tera-home[.]com 和 ninjatech[.]io。经过深入挖掘，Qurium 发现 gmslb[.]net 被数十个盗版或破解的视频内容流媒体应用程序所引用，例如 CRICFy、DooFlix、Sprozfy、RTS Tv、Flixoid、CyberFlix、Rapid Streamz、TvMob 和 HD/OceanStreams。

Qurium 的报告指出，大多数长期用于控制 Popa 僵尸网络的域名已于 2025 年 7 月被查封或摧毁，此前 Google、HUMAN Security 和 Trend Micro 联手打击了与 Vo1d 密切相关的 Badbox 2.0 僵尸网络。Qurium 表示，在这次打击行动之后，立即有数十个新域名被注册，用作 Popa 僵尸网络的控制器，但其中一个控制域名并非新注册：ninjatech[.]io。

Ninjatech 是一家由 Moishi Kramer 创立的公司，其 LinkedIn 资料显示他是 NetNut 的研发副总裁。该简历提到，Kramer 曾帮助 NetNut“从零开始”建设、“设计架构”并“扩大 NetNut 规模”，随后该公司被 Alarum Technologies 收购。他在求职平台 F6S 上自行创建的页面显示，Kramer 是 Ninjatech 域名的唯一所有者（相关截图如下）。

图片：F6S.com。

Kramer 先生在回复电子邮件时表示，Ninjatech 已于大约五年前停止运营，当时公司出售了一款名为 Popa 的软件开发工具包（SDK）。该 SDK 被设计为仅使用设备的一小部分带宽，且只有在宿主应用获得用户同意后才会运行。

“那段代码在几年前就已经出售并授权给了包括分销商在内的第三方，”Kramer 说，“一旦软件以这种方式分发，原始开发者就无法控制其他人后续如何修改、重新包装或部署它。”

Kramer 表示，他和 NetNut 均未构建、运营或维护被描述为 Popa 的基础设施，他也不控制 Ninjatech 域名。

“我并没有注册你提到的 2025 年 6 月的域名，我也不知道是谁注册的，”他接着说道，“我对该基础设施既没有控制权，也无法查看其内部情况。我只能告诉你，它不是由我或 NetNut 运营的。”

然而，代理追踪公司 Synthient 在今日单独发布的一份关于 Popa 的研究报告中表示，近期对 Popa SDK 的分析显示，其出站流量与 NetNut 存在明显的关联。

“研究团队经过评估高度确信，运行 Popa 的设备会转发来自 NetNut 客户端的流量，”Synthient 写道，“这毫无疑问地证明了 NetNut 仍在积极地将 Popa 作为其代理池的一部分来使用。”

Synthient 的平台正在接收来自 Popa 的出站流量。图片：Synthient.com。

NetNut 位于特拉维夫的母公司 Alarum Technologies 表示，Synthient 和 Qurium 的报告包含“明显不准确的断言和有缺陷的推论，而非经过验证的事实。”Alarum 分享了一份声明，表示他们拒绝接受报告中将所讨论的 SDK 和技术定性为“僵尸网络”的基本定调。

声明写道：“涉事的 SDK 旨在提供带宽共享功能，不会将用户设备变成受恶意软件控制的系统，也不会以其他方式损害其运行的设备。NetNut 运营着一个商业代理网络，并制定了相应的政策、程序和技术措施，旨在促进对其服务的合法及负责任的使用。”

Alarum 表示，NetNut“高度重视适当的通知与同意机制，对客户进行尽职调查，监控潜在的滥用行为，并采取措施以检测和消除可疑或未经授权的活动。”

他们的声明继续写道：“这种运营方式得到了内部程序和政策的支持，包括对 NetNut 的客户执行 KYC 检查和额外的尽职调查，以及采用各种技术措施来协助识别和处理涉嫌滥用网络的行为。”

然而，代理追踪服务公司 Spur 在 6 月 8 日发布的一份报告中声称，NetNut 在允许客户购买代理访问权限之前，并未要求进行企业认证或实质性的“了解你的客户”（KYC）程序。

Spur 写道：“个人可以注册、付款，并通过合作伙伴的地址空间（包括那些用户从未同意加入的机构所拥有的地址空间）来路由流量。‘仅限经过验证的企业’这种说法仅仅是带宽卖家的营销话术，而不是针对实际代理使用者的访问控制。”

“NetNut 也不是唯一的入口，”Spur 继续说道。“许多下游的白标厂商和分销商以自己的品牌重新包装同一个 ISP 代理池。这些渠道通常根本不执行 KYC（了解你的客户）审查，其审查力度甚至不如 NetNut，NetNut 至少还会为潜在用户分配一位客户经理。任何知道去哪里找的人，只需提供一个一次性邮箱地址和 5 美元的加密货币，就可以通过分销商购买访问权限。”

Synthient 发现，尽管 Popa 的最新版本（截至三个月前）增加了在安装代理组件前征求用户同意的功能，但并非所有变体或早期版本的 Popa 都包含此功能。

Sythient 写道：“在分析的 20 多个真正的 Popa 发布者中，没有观察到任何一个会征求用户的同意。”

POPA 的普遍性

Chris Formosa 是 Black Lotus Labs（互联网骨干网运营商 Lumen Technologies 旗下的一个部门）的高级首席信息安全工程师。

Formosa 表示：“让 Popa 显得格外危险的原因正是 NetNut 在转售和共享方面的使用极其广泛。”他解释说，许多其他代理服务只是在转售 NetNut 的代理，而不是建立自己庞大的代理网络。“因此，这些 Popa IP 出现在整个生态系统中的大量不同服务中，这使其成为目前市场上问题最多、最危险的代理僵尸网络之一。”

Formosa 表示，Popa 僵尸网络每天平均拥有 150 万到 250 万个不重复的 IP 地址，并依赖 250 到 300 个用于指挥其活动的互联网地址。

“这就是为什么 Popa 如此危险，”Formosa 说。“它可能不是我们见过的最大的僵尸网络，但它遍布整个行业，使其力量被极大放大了。”

Formosa 表示，虽然这使得 Popa 成为当今规模较大的僵尸网络之一，但其数量与 IPIDEA 之前吹嘘的数据相比可谓小巫见大巫。IPIDEA 是一家总部位于中国的代理提供商，直到最近它还运营着一个拥有近 1000 万台设备的日常资源池，并将这些设备作为代理转售给任何人。2026 年 1 月，Synthient 发表的研究表明，多个新的大型 DDoS 僵尸网络通过 IPIDEA 代理隧道渗透到毫无防备的电视盒子所有者的本地网络中，并感染了用户防火墙后面的其他基于 Android 的设备，从而迅速壮大。

IPIDEA 主要依赖于大量电视盒子设备上用于观看盗版流媒体内容的 SDK，但该服务的数量自 1 月份以来已经大幅下降，当时 Google 及其行业合作伙伴采取了法律行动，查封了 IPIDEA 用于控制设备并通过它们代理流量的域名。

Nokia Deepfield 的安全研究员 Jérôme Meyer 表示，参与 Popa 僵尸网络的设备总数可能远高于 Lumen 的估计。Meyer 告诉 KrebsOnSecurity，Nokia 正在监控该僵尸网络至少 359 个已知中继节点中的 26 个，并估计每个中继节点同时处理 35,000 到 60,000 个客户端。

“在我正在观察的中继节点子集（共 26 个）中，24 小时内出现了 75 万个独立来源，”Meyer 在回答问题时写道。

Nokia Deepfield 今天发布了其关于 RoboVPN 的报告，这是一款与 Vo1d 僵尸网络的 Popa 插件相关的 VPN 应用，Qurium 认为其归属于 NetNut/Alarum Technologies。

代理与数据抓取的共生关系

专家表示，全球许多最大的代理服务提供商已经更新了其对外品牌宣传，以突出其在训练 AI 平台方面的实用性，暗示这是其住宅代理的主要用例。这是因为 AI 服务倾向于不断大规模抓取互联网，以获取可用于训练大型语言模型（LLM）的新文本、图像和视频内容。

NetNut 和其他代理服务已将自己重新定位为 AI 抓取经济的关键基础设施。图片：Synthient.com。

“AI 公司依赖于网络抓取的内容：用于预训练、检索、智能体基础构建和搜索，” Include Security 本月发布的一份报告中写道，该报告探讨了智能电视应用中代理 SDK 的普及情况。“但现代网络无法从数据中心进行抓取。Cloudflare、DataDome、HUMAN 等公司会限制或阻止来自已知云 IP 的请求。权宜之计就是使用住宅代理。通过 Comcast 或 T-Mobile 订阅用户的连接路由的抓取任务，其到达目标网站时使用的是属于付费住宅客户的 IP。”

这种无休止的内容抓取已经引发了 70 多起针对大型科技公司的版权侵权诉讼，这些公司承认大规模数据抓取是其商业 AI 产品“大脑”的主要来源。具有讽刺意味的是，许多抓取活动正是由那些与非官方 Android TV 电视盒及相关 SDK 密切相关的代理服务提供协助的，而这些 SDK 声明的目的正是流媒体播放盗版内容。

抓取活动变得如此猖獗，以至于经常导致目标网站不堪重负，使得合法访问者无法正常访问。在许多已报道的案例中，非营利组织、图书馆和大学抱怨说，面对那些躲在住宅代理服务背后、无情进行数据抓取的公司，他们为了维持服务在线而疲于奔命。

开放获取存储库联盟（COAR）去年进行的一项调查发现，虽然一些内容抓取机器人相对无害，但“另一些机器人却极具攻击性，导致存储库和其他学术交流基础设施的服务中断日益频繁。”超过 90% 的受访者表示他们的存储库正在遭遇具有攻击性的机器人，通常每周超过一次，并经常导致系统变慢和服务中断。

“自动化网络抓取并不是什么新鲜事，30 多年来它一直是 Google 等搜索引擎底层的关键技术，” 开放获取期刊目录（DOAJ，一个免费的、由社区维护的同行评审学术期刊索引库）的平台经理 Brendan O'Connell 写道。“然而，当前由投资者推动的 AI 初创公司热潮意味着，除了 OpenAI 和 Google 等现有的主要参与者之外，现在还有数千家资金雄厚的公司在开发和部署自己的抓取工具来训练 AI 模型。”

不要换台！

在美国各地，当地社区正在抵制那些主要为提升 AI 能力而新建的数据中心的激增。但安全专家表示，公众大多并未意识到，使用这些未经授权的 Android TV 盒子意味着他们的“智能电视”每个月几乎肯定会消耗大量带宽，以帮助训练现代 AI 模型。

即使是没有这些可疑电视盒子的家庭，只需下载三星和 LG 智能电视上提供的数千款应用中的一款，他们的智能电视仍然可能被变成住宅代理节点。Spur 表示，该公司最近抓取了 LG 和三星的应用商店，发现每个商店都有大约 3000 款应用可供下载。其中许多应用是简单的游戏或工具，它们在附属细则中声明，将使用用户的互联网连接下载数据，并且用户可以随时选择退出。

Spur 表示，他们发现在 LG 智能电视的 webOS 操作系统上可供下载的应用中，超过 42% 包含 SDK，能够将用户的电视变成始终在线的住宅代理节点。Spur 还发现，为三星的 Tizen 操作系统开发的应用中，有超过四分之一包含类似的住宅代理组件。

图片：Spur.us。

专家表示，带有代理 SDK 的电视应用能否在安装常驻代理连接时获得用户的有效同意是存在疑问的，尤其是当家庭中的任何人（包括儿童）只需安装一个简单的游戏或应用，就能顺理成章地将家庭电视加入住宅代理网络时。

“隐私政策的披露对于电视来说是一个错误的控制层面，”Include Security 写道。“使用遥控器上的方向键浏览法律文件是非常困难的，而且应用内的同意对话框并没有明确告知，即将有付费客户通过用户的家庭互联网来路由他们的抓取流量。”

Spur 的研究主管 Sean Simmons 告诉 KrebsOnSecurity，无论使用什么设备，大多数人对出售其住宅 IP 地址的访问权意味着什么并没有清晰的概念。

“而在电视上，这种认知差距更大，”Simmons 说。“通过遥控器操作的一次性提示可能会在设置流程中一闪而过，而当所有人早就忘了他们当初同意了什么时，应用却仍在利用该连接持续牟利。”

Simmons 表示，LG 和三星应该效仿其他已经对住宅代理提供商划清界限的电视平台，他指出了亚马逊禁止应用为第三方提供便利代理服务的政策。同样地，据报道，电视流媒体设备制造商 Roku 现在也禁止开发者使用代理 SDK，并已移除了捆绑这些 SDK 的应用。

盗版相关应用将代理 SDK 强加给未同意的用户。图片：Synthient。

当然，将设备变成住宅代理节点的应用并不仅限于智能电视和不知名的流媒体盒子。正如安全公司 Infoblox 所指出的，移动应用开发者可以将住宅代理网络提供的 SDK 嵌入到他们的产品中以实现软件变现，这使他们能够在每次安装时获得少量收入。

Infoblox 表示，其结果是设备经常在所有者不知情的情况下被注册，通常是通过免费应用程序，例如 VPN、流媒体应用、屏幕保护程序，以及诸如 PDF 查看器和休息提醒等“生产力”应用。

Infoblox 发现，这些代理服务通常是通过员工带入工作场所的设备向外发送信标的。在本月早些时候的一篇博文中，Infoblox 表示，他们发现高达 65% 的客户群查询了一个或多个与住宅代理相关的域名。

Infoblox 写道：“我们在 2025 年观察到这些查询稳步增长，全年增幅达到 25%，每月查询量超过 5000 亿次。超过 90% 的制药以及食品饮料行业客户查询了住宅代理相关指标。或许更令人担忧的是，超过 60% 的政府和银行业客户也存在同样情况。”

Infoblox 研究人员 Nick Sundvall 和 David Brunsdon 警告称，一旦企业环境中存在住宅代理，外部访问权限就会被开放给该组织的 IP 空间。

他们写道：“如果威胁行为者滥用住宅代理来攻击第三方，第三方的事件响应团队必然会准确地将你的住宅代理识别为攻击源。要想澄清事实，证明你只是中继渠道而非威胁行为者，不仅耗费时间，还会引发法律风险，并可能损害你的声誉。这些服务在客户环境中惊人的泛滥程度，理应引起网络防御者和政策制定者的关注，他们应当考量住宅代理带来的风险会如何影响自身的安全态势。”