Em uma operação coordenada anunciada em 2 de julho de 2026, o Google, em conjunto com o FBI e a empresa Lumen, desarticulou a infraestrutura da NetNut, uma das maiores redes de proxies residenciais utilizadas para atividades cibercriminosas. Segundo o Google Threat Intelligence Group (GTIG), a rede operava ao converter milhões de dispositivos domésticos — como smart TVs e set-top boxes — em nós de saída para tráfego malicioso, permitindo que atacantes mascarassem suas ações sob endereços IP legítimos.
Esta ação não é um evento isolado, mas parte de uma campanha contínua do Google contra a exploração de infraestrutura residencial. Em janeiro de 2026, a gigante de tecnologia já havia interrompido as operações da rede IPIDEA, sinalizando uma ofensiva estruturada para mitigar a disseminação de botnets que se aproveitam da falta de visibilidade dos usuários sobre o que acontece nos bastidores de seus aparelhos conectados.
A mecânica por trás do sequestro de IP
O conceito de rede de proxy residencial explora uma vulnerabilidade fundamental da internet moderna: a confiança depositada em conexões domésticas. Diferente de servidores em data centers, que são facilmente identificados e bloqueados por sistemas de segurança, o tráfego originado em uma casa comum possui uma reputação digital limpa e, portanto, é menos suscetível a bloqueios automáticos. Os operadores da NetNut utilizavam kits de desenvolvimento de software (SDKs) maliciosos, muitas vezes embutidos em aplicativos aparentemente inofensivos ou pré-instalados em dispositivos de baixo custo, para transformar o hardware do consumidor em um ponto de acesso para terceiros.
O modelo de negócio é altamente lucrativo e escalável através de revendedores. O Google identificou que a NetNut não apenas vendia acesso direto, mas operava um programa de revenda que permitia a outras marcas comercializar a capacidade da botnet como se fossem serviços legítimos de proxy. Essa interconexão torna o ecossistema extremamente resiliente; quando um nó é desativado, os operadores frequentemente migram para a capacidade de concorrentes, mantendo a rede ativa sob novas fachadas.
Riscos invisíveis para o usuário doméstico
Para o proprietário do dispositivo, as consequências da infecção vão além da perda de desempenho. Quando um aparelho doméstico atua como um nó de saída, ele pode ser utilizado para ataques de força bruta, espionagem ou distribuição de malware, fazendo com que o IP da residência seja marcado como fonte de atividades suspeitas. Isso pode resultar em bloqueios de acesso a serviços legítimos e, em casos mais graves, na exposição da rede local a invasores que utilizam a brecha aberta pelo dispositivo infectado para acessar outros computadores e dados sensíveis na mesma casa.
Dados do GTIG indicam que, apenas em junho de 2026, mais de 300 clusters de ameaças, incluindo grupos de espionagem cibernética, utilizaram nós da NetNut para ocultar suas origens. A utilização de componentes da NetNut em botnets como o Badbox 2.0 e variantes do Mirai reforça que a ameaça é real e está integrada ao arsenal de atacantes profissionais que buscam anonimato para suas operações.
O desafio da governança e da resposta técnica
A resposta do Google focou em três pilares: desativar o comando e controle (C2), compartilhar inteligência com parceiros e implementar proteções automáticas no ecossistema Android. O Google Play Protect agora identifica e bloqueia aplicativos que integrem os SDKs da NetNut, reduzindo a capacidade da rede de recrutar novos dispositivos. No entanto, a natureza mutável desses grupos exige uma cooperação constante entre provedores de internet, fabricantes de hardware e plataformas móveis para fechar as brechas que permitem a persistência dessas redes.
A indústria de proxies residenciais é um exemplo claro de como a inovação técnica pode ser rapidamente subvertida. Enquanto o Google busca degradar a infraestrutura existente, a própria natureza interconectada do mercado sugere que a solução definitiva não virá de uma única intervenção, mas de uma pressão coordenada em toda a cadeia de suprimentos de hardware conectado, que muitas vezes carece de atualizações de segurança robustas.
Perguntas sobre o futuro da segurança IoT
A desarticulação da NetNut levanta questões sobre a responsabilidade dos fabricantes de dispositivos inteligentes. Até que ponto as empresas que produzem hardware de baixo custo são coniventes ou negligentes ao permitir que SDKs de terceiros sejam integrados aos seus sistemas? A visibilidade sobre o tráfego que sai de dispositivos domésticos permanece um ponto cego para a maioria dos consumidores, e o setor ainda carece de padrões de transparência que permitam identificar quando um dispositivo está agindo contra os interesses do dono.
O monitoramento da evolução dessas redes nos próximos meses será crucial. Se os operadores da NetNut conseguirem se reorganizar através de novos parceiros ou modelos de revenda, a eficácia das intervenções pontuais será questionada. A segurança dos lares conectados depende, hoje, de uma vigilância que vai além de senhas fortes, exigindo um escrutínio rigoroso sobre o software que reside dentro de cada eletrodoméstico.
A proteção definitiva contra esses riscos ainda parece distante, dado que a economia por trás das botnets de proxy é vasta e descentralizada. O caso serve como um lembrete de que, na era da internet das coisas, qualquer dispositivo conectado pode se tornar um ativo valioso para o crime organizado, exigindo que o consumidor seja cada vez mais seletivo com as marcas e aplicativos que permite entrar em seu ambiente privado.
Com reportagem de Brazil Valley
Source · DarkWebInformer





