Empresas de tecnologia e autoridades dos Estados Unidos coordenaram uma ação para desmantelar a NetNut, uma grande rede de proxies residenciais que, segundo a investigação, estava sendo empregada como botnet por grupos criminosos cibernéticos. A operação envolveu o Google, a empresa de infraestrutura Lumen, a organização de monitoramento Shadowserver e o FBI.

De acordo com os achados dessas equipes, a NetNut operava uma infra-estrutura de proxies residenciais com mais de 2 milhões de aparelhos conectados. Parte dessa estrutura era ofertada em um modelo de revenda, o que permitia que outras redes de proxy dependessem da malha original. Esse formato de aluguel deu a criminosos a capacidade de planejar e executar ataques mantendo maior sigilo sobre sua origem.

A investigação também identificou vínculos entre a NetNut e outras famílias de malwares conhecidas. Foram encontradas conexões com a BadBox 2.0 e indícios de uso de variantes do malware Mirai, código frequentemente utilizado para transformar dispositivos domésticos em instrumentos de ataque cibernético.

Obsservações do Google e alcance das ameaças

O relatório da equipe de inteligência de ameaças do Google (GTIG) aponta que, em uma única semana de junho de 2026, foram detectados 316 grupos distintos de ameaças utilizando os nós de saída da NetNut. Esses grupos incluem tanto organizações ligadas a cibercrime quanto atores de espionagem que aproveitavam os proxies residenciais para ocultar suas operações.

Por que esses proxies são perigosos?

Proxies residenciais fazem o tráfego de internet parecer originário de uma residência comum em vez de um servidor comercial, o que pode aumentar a privacidade em usos legítimos. No entanto, provedores desse serviço costumam abordar usuários oferecendo pagamento para que rodem um pequeno programa em seus dispositivos. Esse software canaliza parte da largura de banda doméstica para os clientes da rede proxy.

NetNut: rede de mais de 2 milhões de aparelhos usada como botnet vira alvo do FBI

Imagem: Divulgação

Embora o uso de proxies residenciais não seja necessariamente ilegal, criminosos se beneficiam dessa estrutura para ocultar endereços IP reais ao invadir sistemas. Entre as técnicas observadas está o password spray, em que invasores testam uma mesma senha comum (por exemplo, “123456”) contra um grande número de contas simultaneamente até obter acesso.





As autoridades recomendam recusar ofertas que proponham instalar aplicativos para monetizar a internet ociosa, pois esses acordos podem expor dados pessoais e comprometer a segurança de toda a rede doméstica.

Com informações de Tecmundo