
Le groupe Threat Intelligence de Google, le FBI et des partenaires industriels ont démantelé NetNut, un vaste réseau de proxy résidentiel qui a secrètement piraté plus de 2 millions de téléviseurs connectés, boîtiers de streaming et appareils Android pour blanchir le trafic des cybercriminels.
Également connu sous le nom de Popa, le botnet infectait les appareils via des applications trojanisées et des logiciels malveillants tels que Badbox 2.0, infectant tout, des boîtiers Android TV génériques aux cadres photo numériques et aux systèmes d’infodivertissement automobiles. Une fois compromis, les appareils étaient mis au service de proxys résidentiels, permettant aux abonnés d’acheminer du trafic malveillant à travers les adresses IP de particuliers innocents.
Ampleur de l’opération. Au cours d’une seule semaine de juin 2026, Google a observé 316 grappes de menaces distinctes utilisant des nœuds de sortie NetNut présumés, incluant à la fois des groupes cybercriminels et d’espionnage. Les clients utilisaient le réseau pour masquer leurs adresses IP d’origine lors d’attaques par pulvérisation de mots de passe, accéder aux environnements des victimes et dissimuler leur utilisation d’infrastructures compromises.
NetNut est lié à l’entreprise israélienne cotée en bourse Alarum Technologies. L’avocat Omer Weiss a déclaré que l’entreprise était au courant de la saisie du FBI et qu’elle coopérait avec les enquêteurs.
Comment le démantèlement a fonctionné. Google a désactivé les comptes et services utilisés par NetNut pour le commandement et le contrôle des logiciels malveillants, désactivé les applications infectées via Google Play Protect, envoyé des avertissements aux victimes et partagé des renseignements techniques sur les kits de développement logiciel de NetNut avec les fournisseurs de plateformes et les forces de l’ordre. Le FBI a saisi plusieurs noms de domaine liés au réseau.
« Nous croyons que nos actions coordonnées ont causé une dégradation significative du réseau de proxy de NetNut et de ses opérations commerciales, réduisant le pool d’appareils disponibles pour l’opérateur de proxy de millions », a déclaré Google.
L’opération fait suite à une série de perturbations similaires. Google avait déjà ciblé la campagne Badbox originale et a engagé des poursuites judiciaires contre les opérateurs de proxy résidentiels. KrebsOnSecurity et Synthient ont tous deux publié des preuves reliant Popa à NetNut et Alarum Technologies avant le démantèlement.
Source : KrebsOnSecurity, SecurityWeek, Google Threat Intelligence Group
Traduit par Lydie

