O FBI, a divisão de Investigação Criminal do IRS e o Google desmantelaram a NetNut, uma rede de proxies residenciais construída sobre a botnet Popa: uma coleção de pelo menos dois milhões de smart TVs, aparelhos de streaming e roteadores hackeados que repassavam silenciosamente o tráfego de internet de outras pessoas por anos, sem o conhecimento de seus proprietários. A operação de desmantelamento, anunciada em 2 de julho de 2026, ocorreu após semanas de investigações que ligaram a NetNut a malwares distribuídos por meio de firmware pré-instalado e kits de desenvolvimento de software embutidos em dispositivos de consumo de baixo custo.
O que era a botnet de proxy residencial NetNut
A NetNut era operada pela Alarum Technologies, uma empresa israelense de capital aberto (NASDAQ: ALAR), e comercializada como um serviço comercial de "proxy residencial", permitindo que clientes pagantes roteassem o tráfego da web através de milhões de endereços IP domésticos reais, em vez de servidores de data centers que são facilmente bloqueados. Pesquisadores de segurança do Google, Lumen, Shadowserver, Synthient e Spur descobriram que grande parte desse pool de IPs vinha da botnet Popa: aparelhos infectados sem consentimento e transformados silenciosamente em nós de saída para qualquer pessoa disposta a pagar pelo acesso.
Como dois milhões de aparelhos foram hackeados
Os investigadores rastrearam dois caminhos de infecção distintos. Algumas caixas de smart TV de baixo custo saíam de fábrica com o código proxy já embutido no firmware. Outras adquiriam a mesma capacidade por meio de aplicativos gratuitos para celular e TV que incluíam um kit de desenvolvimento de software oculto, encontrado pela análise do Google em cerca de 42% dos aplicativos LG webOS verificados e em mais de um quarto dos aplicativos Samsung Tizen em diversos momentos. Uma vez instalado, o código transformava uma televisão ou roteador comum em um retransmissor silencioso para o tráfego de terceiros, sem que o proprietário do aparelho visse nada de anormal na tela.
Uma ferramenta favorita para hackers e espiões
O Google afirma ter rastreado 316 grupos de ameaças distintos usando supostos nós de saída da NetNut em uma única semana de junho de 2026, abrangendo tanto grupos de cibercriminosos quanto operações de espionagem ligadas a governos. O "password spraying" (pulverização de senhas) era o caso de uso mais comum: os invasores espalhavam tentativas de login por milhares de endereços IP residenciais diferentes para que nenhum deles acionasse alertas de abuso ou limitação de taxa no serviço alvo. A infraestrutura da NetNut também era revendida e rotulada com marca branca por vários provedores de proxy menores, o que significa que os mesmos aparelhos hackeados acabavam alimentando serviços que nunca carregaram o nome da NetNut.
O desmantelamento
O FBI e a Investigação Criminal do IRS apreenderam centenas de domínios ligados à NetNut e substituíram a página inicial da empresa por um aviso de apreensão. O Google desativou as contas que a NetNut usava para comando e controle de malware, atualizou o Google Play Protect para sinalizar automaticamente os aplicativos que carregavam o SDK oculto e compartilhou indicadores técnicos com toda a comunidade de segurança para acelerar a limpeza em dispositivos já infectados. A escala da resposta, coordenada entre uma agência federal, uma grande plataforma e empresas de segurança independentes, reflete o quão central o abuso de proxies residenciais se tornou tanto para o cibercrime moderno quanto para a espionagem.
Não é a mesma coisa que uma VPN
Vale a pena ser preciso sobre o que a NetNut realmente era: não uma VPN, mas uma rede de proxies residenciais construída por meio da monetização da largura de banda de aparelhos cujos proprietários nunca concordaram com o esquema. Um serviço de VPN legítimo publica quem é seu proprietário, divulga sua política de registros e jurisdição, e roteia apenas o tráfego da pessoa que escolheu instalá-lo, através de servidores que o provedor realmente opera e pelos quais é responsável. Serviços como a NetNut, por outro lado, colhem a largura de banda de equipamentos de estranhos e revendem o acesso a ela, deixando o proprietário do aparelho sem visibilidade sobre quem está usando sua conexão ou por quê. Essa distinção é importante para qualquer pessoa que esteja avaliando uma ferramenta de roteamento de tráfego "gratuita" em detrimento de um serviço de privacidade pago e auditado: economizar custos com um aplicativo de proxy obscuro é exatamente como uma smart TV acaba se tornando parte de uma botnet em primeiro lugar.
Por que isso continua acontecendo
A NetNut não é a primeira operadora de proxy residencial ligada a hardwares hackeados, e os pesquisadores dizem que não será a última. O próprio modelo de negócios, que paga pelo acesso a endereços IP residenciais reais em grande escala, cria um incentivo constante para fechar os olhos sobre como esse acesso foi obtido. A interrupção feita pelo Google remove um grande fornecedor, mas a demanda de spammers, equipes de preenchimento de credenciais e operadores de fraude de anúncios por IPs residenciais difíceis de bloquear não desapareceu, e é por isso que as equipes de segurança esperam que sucessores de marca branca surjam em questão de meses.