Publicado 06/07/2026 09:56

Pesquisadores do Google desmantelam a NetNut, uma rede “proxy” maliciosa com 2 milhões de dispositivos comprometidos

Ilustração de uma rede de conexão à Internet.
FREEPIK

MADRID 6 jul. (Portaltic/EP) -

Pesquisadores de segurança cibernética do Google, em parceria com o FBI e parceiros do setor, desmantelaram uma das maiores redes globais de “proxies” residenciais maliciosos, conhecida como NetNut, que chegou a comprometer 2 milhões de dispositivos domésticos.

A NetNut, também conhecida como Popa, é uma das redes de “proxies” mais populares atualmente, caracterizada por permitir que os cibercriminosos ocultem suas atividades maliciosas por meio de endereços IP legítimos ao lançarem seus ataques, especificamente, vendendo a capacidade de rotear tráfego por meio de endereços IP de propriedade de provedores de serviços de internet.

Essa rede de “proxies” comprometeu pelo menos dois milhões de dispositivos em todo o mundo, incluindo desde dispositivos de “streaming” até Smart TVs, que eram infectados por meio de aplicativos com trojans e “botnets” como o Badbox 2.0, nos quais os agentes maliciosos incorporavam plug-ins de proxy ocultos.

No entanto, o Grupo de Inteligência de Ameaças do Google (GTIG), em parceria com o FBI, a Lumen e outras organizações do setor, conseguiu tomar medidas contra a rede NetNut, desmantelando-a e afetando diretamente suas operações individuais.

Foi o que a empresa divulgou em um comunicado em seu blog de segurança, onde destacou que esse golpe estratégico se soma ao desmantelamento da rede de “proxies” IPIDEA no início do ano, reforçando o compromisso da empresa de desmantelar “botnets” de “proxies”.

Segundo o Google, durante sua investigação, em apenas uma semana do mês de junho passado, foram identificados até 316 grupos de ameaças distintos operando nessa rede NetNut, abrangendo desde crimes cibernéticos comuns até agentes de espionagem cibernética. Esses agentes maliciosos utilizavam os dispositivos dos usuários e a rede para ocultar seus endereços IP de origem, lançar ataques de força bruta e acessar os ambientes das vítimas.

Assim, com um dispositivo infectado, os cibercriminosos transformavam o “hardware” doméstico dos usuários em “nós de saída”, expondo ainda suas redes de Internet mais amplas e fazendo com que os provedores (ISPs) bloqueassem ou marcassem erroneamente como suspeito o tráfego legítimo dessas residências.

Para conter essas atividades maliciosas, o Google agiu contra a rede NetNut, desmantelando sua infraestrutura por meio do bloqueio das contas e serviços da empresa de tecnologia que a NetNut explorava para as tarefas de comando e controle (C2) do ‘malware’. Isso permitiu interromper sua infraestrutura crítica de “backend”, conforme afirmaram.

Além disso, também foram implementadas medidas de proteção para o ecossistema. Por meio do Google Play Protect, o “software” infectado nos dispositivos das vítimas foi desativado automaticamente, e elas foram alertadas sobre esse incidente de segurança por meio de notificações automáticas.

Para evitar a continuidade dessa rede “proxy”, o Google também compartilhou os dados obtidos por meio de inteligência técnica com outros provedores de plataformas, empresas de pesquisa e outras autoridades de segurança pública. Especificamente, compartilharam os dados coletados sobre os kits de desenvolvimento de software (SDK) da NetNut e a infraestrutura de comando e controle (C2) do “bakend”.

“Embora as interrupções pontuais sejam uma ferramenta fundamental para proteger nossos usuários, é necessário um esforço contínuo e coordenado para reduzir as redes de proxies maliciosas a longo prazo”, destacou o Google, ao mesmo tempo em que incentivou as plataformas móveis, provedores de internet e outras plataformas a “continuarem compartilhando informações e tomarem medidas diretas”.

Esta notícia foi traduzida por um tradutor automático

Contador

Contenido patrocinado