Google, FBI, Lumen e Shadowserver desmantelaram parcialmente a NetNut, uma das maiores redes de proxies residenciais do mundo — com pelo menos 2 milhões de dispositivos comprometidos, majoritariamente aparelhos baratos de streaming de TV. A operação marca a continuação de uma campanha coordenada iniciada em janeiro contra a rede IPIDEA e mira diretamente a infraestrutura que criminosos usam para camuflar tráfego malicioso como se viesse de conexões domésticas legítimas.
O Google Threat Intelligence Group (GTIG), em parceria com autoridades federais dos Estados Unidos e provedores de inteligência como Lumen (Black Lotus Labs) e Shadowserver, anunciou o “significativo enfraquecimento” da NetNut, um dos provedores de proxy residencial mais populares do mercado. A empresa ostentava uma base estimada em 2 milhões de dispositivos residenciais comprometidos ou “voluntariamente” inscritos — número que a coloca no topo da hierarquia global desse tipo de infraestrutura.
O domínio netnut.com passou a exibir a mensagem “This website has been seized” (site apreendido). Curiosamente, um segundo domínio da operação, netnut.io, permanecia acessível no momento das divulgações — indicando que a apreensão foi parcial ou que o operador tenta manter continuidade sob outra fachada. O Register procurou o GTIG para comentar, sem resposta imediata.
A operação é uma continuação direta da ação contra a IPIDEA — outra rede de proxy residencial derrubada em janeiro. O padrão de ataque coordenado entre big techs, ISPs e forças policiais aponta para uma estratégia de longo prazo contra a infraestrutura sombria que sustenta parte relevante do cibercrime moderno.
Proxies residenciais são conexões de internet reais — cabo, fibra, 4G/5G — usadas para intermediar tráfego de terceiros. Do ponto de vista do site de destino, a requisição parece vir de um usuário doméstico comum, o que dificulta bloqueio por reputação de IP. Provedores desse mercado inflam suas bases distribuindo SDKs embutidos em apps aparentemente inocentes: “VPN gratuita”, “extensor de sinal”, “app de recompensas” — o usuário instala e passa a compartilhar sua banda sem entender o que está fazendo.
No caso NetNut, o GTIG identificou algo mais grave: a rede também incorporava componentes do Badbox 2.0, uma botnet Android amplamente documentada que preinfecta dispositivos baratos ainda na cadeia de suprimentos — TV boxes, tablets, projetores digitais vendidos com firmware modificado. Relatórios públicos adicionais indicam que o mesmo canal foi usado para infecções por variantes do Mirai, o clássico malware IoT.
“Redes de proxy residenciais como a NetNut sustentam operações de fraude publicitária, credential stuffing, scraping massivo e ocultação de infraestrutura de comando e controle — todas atividades que dependem de camadas de anonimato que parecem legítimas”, resume a análise do GTIG.
A derrubada da NetNut é politicamente importante, mas tecnicamente incompleta. O mercado de proxies residenciais fatura na casa dos bilhões de dólares por ano e sustenta um ecossistema onde diferenciar operadores “legítimos” (uso corporativo para pesquisa de mercado, verificação de anúncios, testes de geolocalização) e operadores criminosos ficou cada vez mais impossível. Muitas dessas empresas se apresentam como legítimas em jurisdições permissivas, revendem acesso a atores obscuros e negam responsabilidade pelo que trafega em cima.
O paralelo com a IPIDEA (janeiro) sugere que estamos vendo uma sequência calculada — não uma operação isolada. O Google explicitamente sinalizou que mais derrubadas virão. A pergunta estratégica é se a coordenação com ISPs, plataformas móveis (Android, iOS) e fabricantes de hardware IoT chegará ao ponto de tornar economicamente inviável a formação de novas botnets residenciais. Enquanto TV boxes de US$ 30 continuarem chegando ao mercado com firmware backdoored, a batalha permanece assimétrica em favor dos operadores.
Para observadores do mercado: a estratégia do GTIG parece amadurecer no sentido de mirar a monetização — não os endpoints. Cortando o acesso comercial (venda de proxies para clientes empresariais) e degradando reputação (aparecer em relatórios públicos como “vinculado à Badbox e Mirai”), a operação empurra os operadores para nichos menos lucrativos.
Fonte: The Register
Renúncia de Keir Starmer e disputa pela liderança do Partido Trabalhista adiam o National Cyber…
Ex-membro do comitê PEGA do Parlamento Europeu teve celular repetidamente hackeado pelo Pegasus durante a…
LayerX mostra que ChatGPT Atlas, Comet (Perplexity), Fellou, Genspark, Sigma e Claude Chrome podem ser…
Peter Stokes, 19 anos, com dupla cidadania EUA/Estônia, foi extraditado da Finlândia para Chicago sob…
CISA colocou a CVE-2026-45659 (RCE de desserialização, CVSS 8.8) no catálogo KEV e deu às…
Boletim emergencial da Citrix traz correções para info-leak estilo CitrixBleed no parser XML do NetScaler…