🗓️ Contexte

Publié le 18 juin 2026 sur KrebsOnSecurity, cet article synthétise les rapports simultanés de plusieurs sociétés de sécurité (Qurium, Synthient, Spur, Nokia Deepfield, Black Lotus Labs/Lumen, Include Security, Infoblox) concernant le botnet Popa et son lien avec NetNut, opérateur de proxies résidentiels filiale d’Alarum Technologies Ltd (NASDAQ: ALAR), société israélienne cotée en bourse.

🦠 Description du botnet Popa

Popa est un botnet Android actif depuis environ quatre ans, ciblant principalement des box TV Android non officielles vendues en ligne. Il s’agit d’un composant plugin associé au botnet Vo1d. Ses caractéristiques principales :

  • Conçu pour enrôler des appareils dans un réseau de proxies résidentiels persistant
  • Maintient des connexions chiffrées longue durée et ouvre des tunnels de communication à la demande
  • Taille estimée : 1,5 à 2,5 millions d’adresses IP distinctes par jour (Black Lotus Labs)
  • Utilise entre 250 et 300 adresses IP comme nœuds de contrôle
  • Nokia Deepfield surveille 26 des 359 nœuds relais connus, estimant 35 000 à 60 000 clients simultanés par nœud
  • Usages observés : fraude publicitaire, prise de contrôle de comptes, scraping massif de données

🔗 Liens établis avec NetNut / Alarum Technologies

Les éléments de liaison identifiés par les chercheurs :

  • Le domaine de contrôle ninjatech[.]io est lié à Moishi Kramer, VP R&D chez NetNut, crédité d’avoir construit NetNut « from the ground up »
  • Synthient a analysé le SDK Popa et constaté que le trafic sortant est clairement associé à NetNut : « devices running Popa forward traffic from Netnut clients »
  • Les domaines de contrôle incluent : gmslb[.]net, safernetwork[.]io, tera-home[.]com, ninjatech[.]io
  • Le domaine gmslb[.]net est référencé dans des applications de streaming piraté : CRICFy, DooFlix, Sprozfy, RTS Tv, Flixoid, CyberFlix, Rapid Streamz, TvMob, HD/OceanStreams

📅 Chronologie clé

  • 2025 : Rapport XLAB identifie 9 domaines de contrôle Popa
  • Juillet 2025 : Google, HUMAN Security et Trend Micro démantèlent Badbox 2.0 (associé à Vo1d) ; la majorité des domaines Popa sont saisis
  • Immédiatement après : Plusieurs dizaines de nouveaux domaines enregistrés pour Popa, dont ninjatech[.]io
  • Juin 2026 : Publication simultanée de rapports par Qurium, Synthient, Nokia Deepfield, Spur

🏢 Position d’Alarum / NetNut

Alarum Technologies rejette les conclusions, qualifiant les rapports d’« assertions inexactes » et refusant la qualification de « botnet ». Moishi Kramer affirme que Ninjatech a cessé ses activités il y a cinq ans et que le SDK a été vendu à des tiers. Spur conteste les affirmations de NetNut sur ses procédures KYC, indiquant qu’un accès peut être obtenu via des revendeurs avec un simple email jetable et 5 dollars en crypto.

🌐 Contexte élargi : proxies résidentiels et scraping IA

  • Plus de 42% des apps LG webOS et plus de 25% des apps Samsung Tizen contiennent des SDK de proxy résidentiel (Spur)
  • 65% des clients Infoblox interrogent des domaines liés aux proxies résidentiels
  • Le phénomène est lié à l’économie du scraping pour l’entraînement de modèles IA
  • IPIDEA (Chine), un concurrent, opérait jusqu’à 10 millions d’appareils quotidiens avant des actions légales en janvier 2026
  • Nokia Deepfield publie également un rapport sur RoboVPN, application VPN liée au plugin Popa/Vo1d

📰 Nature de l’article

Article de presse spécialisée à visée investigative, croisant plusieurs rapports de recherche publiés simultanément, visant à établir publiquement la responsabilité d’une entité commerciale cotée dans l’opération d’un botnet de proxies résidentiels à grande échelle.

🧠 TTPs et IOCs détectés

TTP

  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1090.002 — Proxy: External Proxy (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1496 — Resource Hijacking (Impact)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)

IOC

Malware / Outils

  • Popa (botnet)
  • Vo1d (botnet)
  • RoboVPN (other)
  • Badbox 2.0 (botnet)

🟢 Indice de vérification factuelle : 78/100 (haute)

  • ✅ krebsonsecurity.com — source reconnue (liste interne) (20pts)
  • ✅ 20895 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 1/3 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • safernetwork.io (domain) → VT (17/91 détections)

🔗 Source originale : https://krebsonsecurity.com/2026/06/popa-botnet-linked-to-publicly-traded-israeli-firm/