Google e FBI derrubam NetNut, botnet de proxies residenciais com 2 milhões de dispositivos
Operação coordenada entre Google Threat Intelligence Group, FBI, Lumen e Shadowserver mira uma das maiores redes de proxies residenciais do mundo, ligada a Badbox 2.0 e Mirai, com pelo menos 2 milhões de dispositivos comprometidos.
Google, FBI, Lumen e Shadowserver desmantelaram parcialmente a NetNut, uma das maiores redes de proxies residenciais do mundo — com pelo menos 2 milhões de dispositivos comprometidos, majoritariamente aparelhos baratos de streaming de TV. A operação marca a continuação de uma campanha coordenada iniciada em janeiro contra a rede IPIDEA e mira diretamente a infraestrutura que criminosos usam para camuflar tráfego malicioso como se viesse de conexões domésticas legítimas.
O que aconteceu
O Google Threat Intelligence Group (GTIG), em parceria com autoridades federais dos Estados Unidos e provedores de inteligência como Lumen (Black Lotus Labs) e Shadowserver, anunciou o “significativo enfraquecimento” da NetNut, um dos provedores de proxy residencial mais populares do mercado. A empresa ostentava uma base estimada em 2 milhões de dispositivos residenciais comprometidos ou “voluntariamente” inscritos — número que a coloca no topo da hierarquia global desse tipo de infraestrutura.
O domínio netnut.com passou a exibir a mensagem “This website has been seized” (site apreendido). Curiosamente, um segundo domínio da operação, netnut.io, permanecia acessível no momento das divulgações — indicando que a apreensão foi parcial ou que o operador tenta manter continuidade sob outra fachada. O Register procurou o GTIG para comentar, sem resposta imediata.
A operação é uma continuação direta da ação contra a IPIDEA — outra rede de proxy residencial derrubada em janeiro. O padrão de ataque coordenado entre big techs, ISPs e forças policiais aponta para uma estratégia de longo prazo contra a infraestrutura sombria que sustenta parte relevante do cibercrime moderno.
Como o esquema funciona
Proxies residenciais são conexões de internet reais — cabo, fibra, 4G/5G — usadas para intermediar tráfego de terceiros. Do ponto de vista do site de destino, a requisição parece vir de um usuário doméstico comum, o que dificulta bloqueio por reputação de IP. Provedores desse mercado inflam suas bases distribuindo SDKs embutidos em apps aparentemente inocentes: “VPN gratuita”, “extensor de sinal”, “app de recompensas” — o usuário instala e passa a compartilhar sua banda sem entender o que está fazendo.
No caso NetNut, o GTIG identificou algo mais grave: a rede também incorporava componentes do Badbox 2.0, uma botnet Android amplamente documentada que preinfecta dispositivos baratos ainda na cadeia de suprimentos — TV boxes, tablets, projetores digitais vendidos com firmware modificado. Relatórios públicos adicionais indicam que o mesmo canal foi usado para infecções por variantes do Mirai, o clássico malware IoT.
“Redes de proxy residenciais como a NetNut sustentam operações de fraude publicitária, credential stuffing, scraping massivo e ocultação de infraestrutura de comando e controle — todas atividades que dependem de camadas de anonimato que parecem legítimas”, resume a análise do GTIG.
Riscos e limitações
- Fraude publicitária — a maior parte do tráfego malicioso via proxies residenciais serve a esquemas de ad fraud, esgotando orçamentos de anunciantes.
- Credential stuffing e account takeover — ataques que distribuem tentativas por centenas de IPs residenciais burlam limites de tentativa por endereço.
- Ocultação de C2 e phishing — atacantes hospedam infraestrutura maliciosa atrás de IPs residenciais para dificultar takedown.
- Riscos para o dono do dispositivo comprometido — o tráfego de terceiros passa pela conexão da vítima, que pode responder juridicamente por atividade que nem sabia que estava ocorrendo em sua rede.
- Persistência do modelo — o Google reconhece que ações “ad hoc” só têm efeito limitado: sem cooperação estrutural com ISPs e fabricantes de dispositivos, novas redes ocupam o espaço em pouco tempo.
Análise
A derrubada da NetNut é politicamente importante, mas tecnicamente incompleta. O mercado de proxies residenciais fatura na casa dos bilhões de dólares por ano e sustenta um ecossistema onde diferenciar operadores “legítimos” (uso corporativo para pesquisa de mercado, verificação de anúncios, testes de geolocalização) e operadores criminosos ficou cada vez mais impossível. Muitas dessas empresas se apresentam como legítimas em jurisdições permissivas, revendem acesso a atores obscuros e negam responsabilidade pelo que trafega em cima.
O paralelo com a IPIDEA (janeiro) sugere que estamos vendo uma sequência calculada — não uma operação isolada. O Google explicitamente sinalizou que mais derrubadas virão. A pergunta estratégica é se a coordenação com ISPs, plataformas móveis (Android, iOS) e fabricantes de hardware IoT chegará ao ponto de tornar economicamente inviável a formação de novas botnets residenciais. Enquanto TV boxes de US$ 30 continuarem chegando ao mercado com firmware backdoored, a batalha permanece assimétrica em favor dos operadores.
Para observadores do mercado: a estratégia do GTIG parece amadurecer no sentido de mirar a monetização — não os endpoints. Cortando o acesso comercial (venda de proxies para clientes empresariais) e degradando reputação (aparecer em relatórios públicos como “vinculado à Badbox e Mirai”), a operação empurra os operadores para nichos menos lucrativos.
Recomendações práticas
- Auditoria de dispositivos IoT domésticos — TV boxes, tablets Android baratos e projetores adquiridos em marketplaces devem ser isolados em VLAN de convidado e monitorados para tráfego incomum.
- Bloqueio de destinos suspeitos em firewall corporativo — bloqueie tráfego para domínios conhecidos de C2 associados a Badbox/Mirai (listas do Shadowserver e do GTIG são referências).
- Cuidado com SDKs de “monetização” em desenvolvimento mobile — muitos SDKs oferecem receita em troca de compartilhar a banda do usuário. Se você é desenvolvedor, essa prática pode expor sua base de usuários a responsabilidade jurídica.
- Adote detecção comportamental de bots — se seu negócio depende de login (banco, e-commerce, mídia), invista em soluções que identifiquem padrões de credential stuffing independentemente da reputação do IP.
- Compartilhe indicadores — participe de comunidades como o Shadowserver Alliance para receber IOCs de redes de proxy em tempo real.
- Reveja contratos com fornecedores de “web scraping” ou “verificação” — se algum fornecedor externo entrega dados via IPs residenciais, exija comprovação de origem lícita.
Fonte: The Register



