O SO do cliente VirtualBox (usando NAT) é capaz de acessar a LAN do host - Como?

Minha rede é um pouco simples: todos os PCs da minha LAN (desktop Ubuntu, área de trabalho Win7, netbook XP) conectados a um roteador doméstico dlink, que é conectado ao modem a cabo do ISP. LAN tem sub-rede IP 10.10.10.0/24, gateway (o roteador dlink) é 10.10.10.1, os PCs são 10.10.10.100-120, via DHCP. Os PCs compartilham pastas entre si (clique com o botão direito do mouse - > share, isso é samba, certo?). Até agora tudo bem.

Agora, o desktop do Ubuntu tem o VirtualBox. Eu estava planejando instalar VMs em área restrita para testar malwares (e monitorar o modo como eles "ligam para casa"). Então eu instalei uma VM Ubuntu, rede definida para o modo NAT (o modo padrão, sub-rede 10.0.2.0/24 eu acho).

Então eu abro o Nautilus na VM, vou para "network", e para minha surpresa ... a VM é capaz de ver toda a pasta compartilhada no LAN do host !!!

Como? Não é "Pastas compartilhadas" algo que funciona apenas na rede local? Como uma VM que mora em outra sub-rede pode acessar, digamos, uma pasta compartilhada na máquina Win7? Eles não estão na mesma LAN! (isso seria o modo "Bridged" do Virtualbox, correto?). E não, não me refiro ao recurso "Share Folder" do VirtualBox (que mapeia uma unidade host como um compartilhamento de rede para o convidado), não estou usando.

Portanto, claramente falta algum conhecimento fundamental de como as pastas compartilhadas e o NAT funcionam. Eu supus que o NAT isolaria a VM da minha LAN e ainda poderia navegar na Internet. Estou muito surpreso por ter visto os grupos de trabalho da LAN em uma sub-rede diferente.

Então, a pergunta é: como isso é possível? Como esta relação entre VirtualBox, Pastas Compartilhadas e NAT funciona? E como configurar a VM para que ela não consiga ver a LAN do convidado, mas ainda possa navegar na Internet?