Google e FBI Desmantelam Rede de Proxies Residenciais NetNut
Especialistas do Google, em colaboração com o FBI e outros parceiros, interromperam as operações da NetNut, uma das maiores redes de proxies residenciais do mundo. A ação resultou na perda de acesso a milhões de nós, afetando grupos de hackers e espiões.
MundiX News·04 de julho de 2026·6 min de leitura·👁 1 views
Especialistas do Google, em colaboração com o FBI, Lumen e outros parceiros, desmantelaram as operações de uma das maiores redes de proxies residenciais do mundo, a NetNut. Segundo a Google Threat Intelligence Group (GTIG), os operadores do serviço perderam o acesso a vários milhões de nós. A rede NetNut (também conhecida como Popa) abrange pelo menos 2 milhões de dispositivos globalmente, incluindo smart TVs, set-top boxes e outros eletrônicos. Esses gadgets são transformados em nós de saída da rede, permitindo que clientes do serviço de proxy direcionem seu tráfego através deles. O tráfego originado de proxies residenciais se assemelha à atividade normal de usuários domésticos, tornando-o mais difícil de bloquear. Essa característica é amplamente explorada por cibercriminosos para ocultar sua localização e infraestrutura.
De acordo com os pesquisadores, o código da NetNut era pré-instalado em dispositivos de baixo custo de marcas menos conhecidas e também estava oculto em aplicativos gratuitos. Após a execução, esse código transformava o dispositivo em um nó de proxy, por onde passava tráfego de terceiros e, potencialmente, abria acesso para cibercriminosos a outros dispositivos na rede doméstica. Foi observado também que parte dos dispositivos infectados acabava integrando grandes botnets, como variantes do Mirai e Badbox 2.0. Em apenas uma semana de junho, os especialistas da GTIG identificaram 316 clusters de atividade que utilizavam nós da NetNut. Entre eles, estavam grupos de hackers e de espionagem que ocultavam a origem de suas atividades e realizavam ataques do tipo password spraying.
Conforme relatado recentemente pelo renomado jornalista de segurança Brian Krebs, ao contrário da maioria das redes similares, o serviço NetNut estava associado à empresa pública israelense Alarum Technologies, cujas ações são negociadas na Nasdaq sob o ticker ALAR. Krebs ressalta que, anteriormente, pesquisadores de empresas como Qurium, Synthient, Nokia Deepfield e Spur já haviam vinculado a NetNut à rede Popa. Além disso, no mês passado, especialistas da Synthient direcionaram tráfego através de um gateway comercial da NetNut como parte de um experimento controlado. O tráfego saiu para a internet através de um dispositivo previamente conectado à Popa. No entanto, os pesquisadores escreveram que esse teste confirmava a rota do tráfego, mas não provava que a NetNut sabia a origem dos nós ou que havia criado intencionalmente um botnet. As conclusões agora publicadas pelos analistas do Google corroboram os resultados dessas pesquisas independentes.
Os representantes da Alarum, por sua vez, discordam do uso do termo "botnet" e classificam os dados publicados pelos pesquisadores como "imprecisos e errôneos". A empresa afirma que a NetNut é uma "rede legítima de servidores proxy comerciais" e que os usuários fornecem voluntariamente a largura de banda não utilizada de seus dispositivos ao serviço. Em uma declaração separada, a empresa enfatizou que o software não expõe os dispositivos a riscos. No entanto, especialistas da Synthient relataram que nenhum dos aplicativos analisados por eles solicitou consentimento dos usuários para a transferência de tráfego.
Conforme escrevem os especialistas do Google, a neutralização completa da rede NetNut em uma única operação é impossível. Isso ocorre porque o serviço opera através de revendedores que vendem acesso à mesma infraestrutura sob suas próprias marcas. As estimativas dos pesquisadores indicam que muitos serviços de proxy supostamente independentes, na verdade, revendem o acesso à rede NetNut. Na operação realizada, os especialistas do Google desativaram contas e serviços que os operadores da NetNut utilizavam para gerenciar malware. Além disso, dados sobre o SDK da NetNut e a infraestrutura de servidores do serviço foram compartilhados com parceiros do Google, órgãos de segurança e empresas de pesquisa, para que também pudessem detectar e bloquear componentes relacionados a essa rede. O Google também atualizou a proteção do Play Protect. Agora, ele alerta automaticamente os usuários sobre aplicativos conhecidos com SDKs da NetNut embutidos, desativa-os em dispositivos Android e bloqueia sua instalação.
Segundo a avaliação dos especialistas da GTIG, todas essas medidas levaram à desconexão de milhões de dispositivos da rede NetNut e impactaram significativamente as operações do próprio serviço de proxy. No entanto, os especialistas chamam o ocorrido de interrupção das operações da rede, e não de sua liquidação. Isso se deve ao fato de que, após os bloqueios, os operadores de tais plataformas frequentemente compram capacidade de concorrentes e se tornam eles mesmos revendedores. Os especialistas acreditam que, para alcançar um efeito de longo prazo, é necessário atuar simultaneamente na infraestrutura de vários provedores interligados.
Vale lembrar que, em janeiro de 2026, o Google e seus parceiros já haviam interrompido as operações da rede de proxies residenciais chinesa IPIDEA, e em 2025, a empresa processou os operadores do botnet Badbox 2.0. Componentes desse botnet, composto principalmente por set-top boxes Android comprometidos, tinham intersecções parciais com a rede Popa.
Em conclusão, os especialistas do Google mais uma vez aconselharam os usuários a instalar software apenas de lojas oficiais, verificar as permissões de aplicativos VPN e proxy, não desativar o Google Play Protect e evitar o uso de set-top boxes e televisores de baixo custo de fabricantes desconhecidos.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas do Google, em colaboração com o FBI, Lumen e outros parceiros, desmantelaram as operações de uma das maiores redes de proxies residenciais do mundo, a NetNut. Segundo a Google Threat Intelligence Group (GTIG), os operadores do serviço perderam o acesso a vários milhões de nós. A rede NetNut (também conhecida como Popa) abrange pelo menos 2 milhões de dispositivos globalmente, incluindo smart TVs, set-top boxes e outros eletrônicos. Esses gadgets são transformados em nós de saída da rede, permitindo que clientes do serviço de proxy direcionem seu tráfego através deles. O tráfego originado de proxies residenciais se assemelha à atividade normal de usuários domésticos, tornando-o mais difícil de bloquear. Essa característica é amplamente explorada por cibercriminosos para ocultar sua localização e infraestrutura.
De acordo com os pesquisadores, o código da NetNut era pré-instalado em dispositivos de baixo custo de marcas menos conhecidas e também estava oculto em aplicativos gratuitos. Após a execução, esse código transformava o dispositivo em um nó de proxy, por onde passava tráfego de terceiros e, potencialmente, abria acesso para cibercriminosos a outros dispositivos na rede doméstica. Foi observado também que parte dos dispositivos infectados acabava integrando grandes botnets, como variantes do Mirai e Badbox 2.0. Em apenas uma semana de junho, os especialistas da GTIG identificaram 316 clusters de atividade que utilizavam nós da NetNut. Entre eles, estavam grupos de hackers e de espionagem que ocultavam a origem de suas atividades e realizavam ataques do tipo password spraying.
Conforme relatado recentemente pelo renomado jornalista de segurança Brian Krebs, ao contrário da maioria das redes similares, o serviço NetNut estava associado à empresa pública israelense Alarum Technologies, cujas ações são negociadas na Nasdaq sob o ticker ALAR. Krebs ressalta que, anteriormente, pesquisadores de empresas como Qurium, Synthient, Nokia Deepfield e Spur já haviam vinculado a NetNut à rede Popa. Além disso, no mês passado, especialistas da Synthient direcionaram tráfego através de um gateway comercial da NetNut como parte de um experimento controlado. O tráfego saiu para a internet através de um dispositivo previamente conectado à Popa. No entanto, os pesquisadores escreveram que esse teste confirmava a rota do tráfego, mas não provava que a NetNut sabia a origem dos nós ou que havia criado intencionalmente um botnet. As conclusões agora publicadas pelos analistas do Google corroboram os resultados dessas pesquisas independentes.
Os representantes da Alarum, por sua vez, discordam do uso do termo "botnet" e classificam os dados publicados pelos pesquisadores como "imprecisos e errôneos". A empresa afirma que a NetNut é uma "rede legítima de servidores proxy comerciais" e que os usuários fornecem voluntariamente a largura de banda não utilizada de seus dispositivos ao serviço. Em uma declaração separada, a empresa enfatizou que o software não expõe os dispositivos a riscos. No entanto, especialistas da Synthient relataram que nenhum dos aplicativos analisados por eles solicitou consentimento dos usuários para a transferência de tráfego.
Conforme escrevem os especialistas do Google, a neutralização completa da rede NetNut em uma única operação é impossível. Isso ocorre porque o serviço opera através de revendedores que vendem acesso à mesma infraestrutura sob suas próprias marcas. As estimativas dos pesquisadores indicam que muitos serviços de proxy supostamente independentes, na verdade, revendem o acesso à rede NetNut. Na operação realizada, os especialistas do Google desativaram contas e serviços que os operadores da NetNut utilizavam para gerenciar malware. Além disso, dados sobre o SDK da NetNut e a infraestrutura de servidores do serviço foram compartilhados com parceiros do Google, órgãos de segurança e empresas de pesquisa, para que também pudessem detectar e bloquear componentes relacionados a essa rede. O Google também atualizou a proteção do Play Protect. Agora, ele alerta automaticamente os usuários sobre aplicativos conhecidos com SDKs da NetNut embutidos, desativa-os em dispositivos Android e bloqueia sua instalação.
Segundo a avaliação dos especialistas da GTIG, todas essas medidas levaram à desconexão de milhões de dispositivos da rede NetNut e impactaram significativamente as operações do próprio serviço de proxy. No entanto, os especialistas chamam o ocorrido de interrupção das operações da rede, e não de sua liquidação. Isso se deve ao fato de que, após os bloqueios, os operadores de tais plataformas frequentemente compram capacidade de concorrentes e se tornam eles mesmos revendedores. Os especialistas acreditam que, para alcançar um efeito de longo prazo, é necessário atuar simultaneamente na infraestrutura de vários provedores interligados.
Vale lembrar que, em janeiro de 2026, o Google e seus parceiros já haviam interrompido as operações da rede de proxies residenciais chinesa IPIDEA, e em 2025, a empresa processou os operadores do botnet Badbox 2.0. Componentes desse botnet, composto principalmente por set-top boxes Android comprometidos, tinham intersecções parciais com a rede Popa.
Em conclusão, os especialistas do Google mais uma vez aconselharam os usuários a instalar software apenas de lojas oficiais, verificar as permissões de aplicativos VPN e proxy, não desativar o Google Play Protect e evitar o uso de set-top boxes e televisores de baixo custo de fabricantes desconhecidos.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.