Google LLC a perturbé NetNut, l'un des plus grands réseaux proxy résidentiels en activité, dégradant un service qui avait transformé plus de 2 millions d'appareils domestiques dans le monde en relais pour le trafic Internet d'autres personnes.
L'action a été menée en coordination avec le Federal Bureau of Investigation des États-Unis, Lumen Technologies Inc. et d'autres. Le Threat Intelligence Group de Google a déclaré que cet effort avait réduit de plusieurs millions le nombre d'appareils disponibles pour l'opérateur proxy et provoqué une dégradation significative du réseau et de ses activités. Le FBI a saisi plusieurs domaines NetNut dans le cadre de l'opération.
NetNut, également connu sous le nom de Popa, vend un accès à des adresses Internet résidentielles qui permettent aux acheteurs d'acheminer le trafic via de véritables connexions domestiques. Cela donne l’impression que les activités malveillantes ressemblent à une navigation ordinaire plutôt qu’au trafic du centre de données que les outils de sécurité ont tendance à bloquer. Google estime que le réseau s'étend sur au moins 2 millions d'appareils, dont beaucoup sont des téléviseurs intelligents et des boîtiers de streaming qui ont été soit livrés avec le code proxy préinstallé, soit récupérés via des applications gratuites qui l'ont dissimulé.
Google a pris trois mesures principales. Il a désactivé les comptes et services Google NetNut utilisés pour le commandement et le contrôle des logiciels malveillants. Il a également partagé des informations techniques sur les kits de développement logiciel et l'infrastructure back-end du réseau avec les fournisseurs de plateformes, les forces de l'ordre et les sociétés de recherche. Enfin, Google Play Protect a été configuré pour avertir les utilisateurs et désactiver les applications contenant les SDK NetNut.
L’ampleur des abus est considérable. En une seule semaine en juin, le Threat Intelligence Group a dénombré 316 clusters de menaces distincts utilisant des nœuds de sortie NetNut suspectés, y compris des groupes de cybercriminels et d'espionnage. Les attaquants ont utilisé le réseau pour masquer leur origine, atteindre les environnements des victimes et lancer des attaques par pulvérisation de mots de passe. Google a déclaré que les appareils transformés en nœuds de sortie donnent également au trafic extérieur un chemin vers les réseaux domestiques, exposant ainsi d'autres appareils sur la même connexion.
Contrairement à la plupart des botnets proxy, NetNut remonte à une entreprise publique. Il appartient à Alarum Technologies Ltd., une société israélienne cotée au Nasdaq. NetNut a été fondée en 2017. En juin, des chercheurs de Qurium Media Foundation, Synthient LLC, Nokia Deepfield et Spur Intelligence Inc. ont lié Popa à NetNut, et Synthient a signalé qu'aucune des plus de 20 applications examinées n'avait montré aux utilisateurs une invite de consentement.
Alarum rejette la caractérisation du botnet. La société a qualifié la recherche d’« affirmations manifestement inexactes et de déductions erronées plutôt que de faits vérifiés » et a déclaré que son logiciel prend en charge le partage de bande passante consenti qui ne compromet pas les appareils sur lesquels il fonctionne.
Google a présenté le retrait comme une dégradation plutôt que comme une mise à mort. NetNut gère un programme de revendeur qui permet à d'autres sociétés de vendre son réseau sous leurs propres marques et Google a déclaré être convaincu que de nombreux services proxy apparemment indépendants distribuent le même pool en marque blanche. La société a perturbé le réseau IPIDEA basé en Chine en janvier et a poursuivi les opérateurs du botnet Badbox 2.0 en juillet 2025. Dans les deux cas, les réseaux se sont montrés résilients car les opérateurs ont acheté de la capacité à leurs concurrents.