Google desmantela rede de proxy residencial que infectava mais de 2 milhões de aparelhos
Aprofundamento CEVIU
Aprofundamento
NetNut não é um malware genérico: é uma rede de proxy residencial comercial operada por uma empresa de capital aberto, a Alarum Technologies (NASDAQ: ALAR). Ela vende acesso a IPs reais de dispositivos domésticos, smart TVs, streaming boxes e roteadores, que rodam seu software sem consentimento explícito. Mais de 2 milhões de aparelhos foram recrutados via apps gratuitos, VPNs suspeitas e firmware pré-instalado em hardware de marcas genéricas. O tráfego que sai desses dispositivos é usado por atacantes para password-spray, invasões corporativas e evasão de detecção, porque parece tráfego legítimo de casa, não de datacenter.
O perigo técnico está na arquitetura: cada dispositivo infectado vira um 'exit node', abrindo uma porta para dentro da rede local. Isso permite que ameaças como Mirai e Badbox 2.0 se espalhem lateralmente. Diferente de botnets tradicionais, NetNut opera com camadas de resellers, marcas aparentemente independentes que, na prática, revendem o mesmo pool de IPs. Por isso, o Google chama a ação de 'degradação', não 'derrubada': eliminar um nome não elimina a infraestrutura subjacente.
O que mudou
Em julho de 2025, o Google já havia processado os operadores da Badbox 2.0, uma botnet que compartilhava componentes com NetNut. Agora, em julho de 2026, a ação contra NetNut é mais ampla: envolve FBI, Lumen e pesquisadores independentes, e confirma pela primeira vez que a mesma infraestrutura usada por cibercriminosos também alimenta serviços comerciais legítimos na aparência. A cobertura anterior do CEVIU sobre SocksEscort (março/2026) e ASOCKS (junho/2026) mostrava redes similares, mas todas ligadas a operadores obscuros. NetNut é a primeira com vínculo direto a uma empresa listada em bolsa, e isso muda o jogo regulatório e de responsabilização.
Por que isso importa
Empresas não estão sendo atacadas só por servidores comprometidos: estão sendo invadidas por trás de IPs de usuários finais que nem sabem que estão participando. Em 2026, mais de 65% dos clientes de nuvem da Infoblox fizeram consultas DNS a domínios de proxy residencial, um sinal claro de que o tráfego malicioso está entrando pelas frentes mais difíceis de bloquear: conexões legítimas de funcionários em home office. A falha crítica aqui não é técnica, mas de governança: um modelo de negócios que lucra com 'bandwidth sharing' sem transparência real transforma cada smart TV em um vetor de ataque corporativo. Isso exige revisão urgente de políticas de BYOD, segmentação de rede e regras de firewall baseadas em comportamento, não só em IP.
Linha do tempo
Desmantelamento da botnet SocksEscort, com 369 mil IPs comprometidos em 163 países
Derrubada das botnets IoT Aisuru, Kimwolf, JackSkid e Mossad, que atacavam roteadores
Desativação da botnet Glassworm, voltada a desenvolvedores e usando extensões maliciosas
Operação holandesa contra botnet de 17 milhões de dispositivos vinculada ao provedor ASOCKS
Relatório da Infoblox mostra que 65% dos clientes em nuvem sofrem consultas DNS a domínios de proxy residencial
Google e parceiros degradam a rede NetNut, com mais de 2 milhões de dispositivos domésticos comprometidos
Perguntas frequentes
NetNut é malware ou serviço legítimo?
É um serviço comercial com aparência legítima, mas cujo software é instalado sem consentimento real, nenhum dos 20+ apps analisados mostrava prompt claro de aceitação. A empresa Alarum nega ser botnet, mas pesquisadores confirmaram que tráfego pago por clientes comerciais sai exatamente pelos mesmos dispositivos infectados por Mirai e Badbox 2.0.
Como saber se meu dispositivo está no NetNut?
Não há ferramenta pública de verificação. Mas sinais fortes incluem: apps gratuitos de VPN ou streaming instalados fora da Play Store; smart TV ou streaming box de marca desconhecida com lentidão anormal ou consumo de banda inesperado; e histórico de consultas DNS a domínios suspeitos, como os monitorados pela Infoblox em redes corporativas.
Por que o Google não conseguiu derrubar NetNut totalmente?
Porque NetNut opera com um modelo de reseller: dezenas de marcas aparentemente distintas vendem acesso ao mesmo pool de IPs. Bloquear um nome não resolve, o tráfego simplesmente migra para outro. Além disso, a infraestrutura é descentralizada e se aproveita de dispositivos legítimos, não de servidores controlados por criminosos.
O que muda para equipes de segurança corporativa?
Agora é preciso tratar tráfego residencial como risco ativo, não como exceção. Isso significa ajustar regras de WAF e EDR para detectar padrões de password-spray vindos de IPs domésticos, exigir MFA mesmo em acessos de 'rede confiável', e auditar dispositivos pessoais conectados à rede corporativa, especialmente smart TVs e caixas de streaming.
Fontes
- thehackernews.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 03 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

