Une opération d’envergure coordonnée par le Google Threat Intelligence Group, le FBI, l’opérateur Lumen Technologies, la Shadowserver Foundation et la division des enquêtes criminelles de l’Internal Revenue Service (IRS) américain a porté un coup sévère à NetNut, l’un des plus grands réseaux de proxies résidentiels commerciaux au monde. Connu des chercheurs en sécurité sous l’appellation « Popa », ce réseau englobait plus de deux millions d’appareils domestiques, principalement des téléviseurs intelligents et des boîtiers de diffusion en continu, convertis sans le consentement de leurs propriétaires en nœuds de sortie pour du trafic criminel.
Un réseau de 316 groupes malveillants en une semaine
Selon les informations publiées par Google début juillet, sur une seule semaine de juin 2026, 316 grappes d’activité malveillante distinctes ont été recensées transitant par les nœuds de sortie de NetNut. Ces attaques comprenaient des campagnes de pulvérisation de mots de passe, du credential stuffing, de la fraude publicitaire et du collecte massive de données sensibles. Derrière ces opérations se trouvaient aussi bien des cybercriminels que des groupes parrainés par des États.
Le mode opératoire de NetNut reposait sur l’intégration d’un kit de développement logiciel (SDK) malveillant au sein d’appareils Android bon marché et de marques méconnues, notamment des smart TVs et des boîtiers tels que le client SmartTube. En branchant ces équipements, les utilisateurs louaient « en silence » leur connexion internet, permettant ainsi au trafic malveillant d’emprunter des adresses IP résidentielles légitimes, contournant les filtres de sécurité standard des datacenters.
Un lien avec une entreprise cotée au Nasdaq
NetNut n’était pas un réseau souterrain classique. Des investigations indépendantes menées par les sociétés de sécurité Qurium et Synthient ont établi des liens directs entre la direction exécutive d’Alarum Technologies Ltd, une société israélienne cotée au Nasdaq, et les développeurs originaux du SDK malveillant Popa. Alarum a longtemps présenté son logiciel comme un outil de partage de bande passante consensuel, mais des analyses techniques indépendantes ont contredit cette affirmation : les applications hôtes n’offraient ni information claire ni fenêtre de consentement aux utilisateurs.
En réponse à la saisie de plusieurs domaines associés à NetNut par le FBI, Alarum Technologies a publié un communiqué indiquant qu’elle « prend cette affaire au sérieux et coopérera pleinement avec les forces de l’ordre pour garantir que tout abus de son infrastructure fasse l’objet d’une enquête approfondie et que les responsables soient tenus de rendre des comptes ».
Un système de revente sous marque blanche
Le Google Threat Intelligence Group a noté que NetNut disposait d’un « solide programme de revente permettant un étiquetage blanc de son réseau ». Les chercheurs estiment avec un degré de confiance élevé que de nombreuses marques de proxies résidentiels grand public sont en réalité des revendeurs du réseau NetNut. Par ailleurs, des documents de Nokia Deepfield, Spur et Synthient font état de l’utilisation de NetNut pour infecter des appareils avec des variantes du botnet Mirai, spécialisé dans les attaques par déni de service distribué.
Des mesures techniques et juridiques concertées
Pour empêcher tout redéploiement rapide de l’infrastructure, Google a immédiatement appliqué des contre-mesures techniques : désactivation de tous les comptes Google utilisés par NetNut pour la communication avec les commandants, mise à jour des listes de navigation sécurisée (Safe Browsing), et blocage des mécanismes de renouvellement des certificats. Parallèlement, le FBI a procédé à la saisie de centaines de noms de domaine. L’ampleur de l’opération, couplée aux actions en cours, pourrait durablement entraver la capacité de NetNut à reconstituer son réseau.