🏛️ Contexte

Source : KrebsOnSecurity, publié le 2 juillet 2026. Le FBI, en coordination avec l’IRS Criminal Investigation et plusieurs partenaires industriels (Google, Lumen, Shadowserver), a procédé à la saisie de centaines de domaines associés à NetNut, un service de proxy résidentiel opéré par la société israélienne cotée en bourse Alarum Technologies (NASDAQ: ALAR).

🎯 Nature de la menace

NetNut est identifié comme l’infrastructure commerciale reposant sur le botnet Popa, un réseau d’au moins deux millions d’appareils compromis (smart TVs, boîtiers de streaming Android) transformés en nœuds de proxy résidentiels permanents sans consentement des victimes. Ces nœuds sont loués à des tiers pour :

  • Scraping massif de contenu
  • Fraude publicitaire
  • Attaques de type account takeover
  • Password spraying
  • Dissimulation d’origine d’acteurs malveillants (cybercriminels et groupes d’espionnage)

📊 Ampleur et acteurs impliqués

Le Google Threat Intelligence Group (GTIG) a observé, sur une seule semaine de juin 2026, 316 clusters distincts d’acteurs malveillants utilisant des nœuds de sortie NetNut, incluant des groupes cybercriminels et d’espionnage. Google a :

  • Désactivé les comptes et services Google utilisés pour le command and control du malware
  • Partagé des renseignements techniques sur les SDKs et l’infrastructure backend
  • Désactivé les applications intégrant les SDKs NetNut

NetNut était largement revendu et white-labelisé par de nombreux fournisseurs tiers de proxy.

🔗 Liens avec l’écosystème proxy

Selon Benjamin Brundage (fondateur de Synthient), NetNut avait gagné en popularité après la saisie précédente de son principal concurrent IPIDEA. Le botnet Kimwolf, identifié comme le plus grand botnet DDoS au monde en janvier 2026, avait été construit en tunnelant via des connexions IPIDEA. La saisie de NetNut devrait impacter significativement les botnets DDoS associés.

Google avertit que les réseaux de proxy peuvent se reconstruire en revendant la capacité de concurrents, comme IPIDEA l’a fait après sa propre saisie.

📱 Vecteurs de compromission

  • Boîtiers TV Android non officiels livrés avec des SDKs de proxy préinstallés
  • Applications sur smart TVs Samsung (Tizen) et LG (webOS) : 42% des apps LG webOS et plus d’un quart des apps Samsung Tizen intègrent des SDKs de proxy résidentiel (source : Spur)

📌 Type d’article

Article de presse spécialisée relatant une opération de police internationale ayant abouti au démantèlement d’une infrastructure de proxy résidentiel botnet, avec analyse de l’impact sur l’écosystème cybercriminel.

🧠 TTPs et IOCs détectés

TTP

  • T1090.002 — Proxy: External Proxy (Command and Control)
  • T1110.003 — Brute Force: Password Spraying (Credential Access)
  • T1583.008 — Acquire Infrastructure: Malvertising (Resource Development)
  • T1496 — Resource Hijacking (Impact)

Malware / Outils

  • Popa (botnet)
  • Kimwolf (botnet)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ krebsonsecurity.com — source reconnue (liste interne) (20pts)
  • ✅ 9221 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://krebsonsecurity.com/2026/07/fbi-seizes-netnut-proxy-platform-popa-botnet/