🌐 Contexte

Source : BleepingComputer, publié le 3 juillet 2026. Une opération coordonnée a ciblé NetNut (aussi connu sous le nom Popa), l’un des plus grands réseaux proxy résidentiels au monde, utilisé par des cybercriminels et des groupes d’espionnage pour masquer leur trafic malveillant derrière des adresses IP résidentielles légitimes.

🎯 Nature de la menace

NetNut est un botnet proxy résidentiel estimé à au moins 2 millions d’appareils compromis, principalement des smart TVs et boîtiers de streaming Android. Les appareils sont infectés via :

  • Des applications pré-installées avant achat (supply chain)
  • Des applications trojanisées téléchargées par les utilisateurs
  • Des botnets associés comme Badbox 2.0 intégrant des plugins proxy

Les appareils infectés servent de nœuds de sortie pour router du trafic non autorisé via leurs adresses IP résidentielles.

👥 Acteurs et usages malveillants

En une seule semaine, le Google Threat Intelligence Group (GTIG) a observé 316 clusters de menaces distincts utilisant des nœuds de sortie NetNut, incluant des groupes cybercriminels et d’espionnage. Les usages documentés incluent :

  • Accès à leur propre infrastructure
  • Attaques par password spraying
  • Accès aux environnements victimes

🔧 Opération de démantèlement

L’opération a impliqué : Google (GTIG/Mandiant), le FBI, Lumen Technologies, The Shadowserver Foundation et d’autres partenaires. Actions menées :

  • Saisie du domaine netnut.com par le FBI (ainsi que d’autres domaines)
  • Désactivation par Google des comptes et services utilisés pour le C2 de NetNut
  • Protection des utilisateurs via Google Play Protect (avertissement et désactivation des applications infectées)
  • Partage des détails techniques sur les SDKs et l’infrastructure C2 avec les forces de l’ordre et chercheurs

🔗 Impact sur l’écosystème proxy

NetNut dispose d’un programme de revendeurs robuste avec whitelabeling, alimentant de nombreux services proxy résidentiels populaires. L’industrie proxy est décrite comme fortement interconnectée, les opérateurs achetant et revendant mutuellement leurs capacités botnet. Cette action fait suite à la perturbation d’IPIDEA plus tôt en 2026.

📋 Type d’article

Article de presse spécialisée relatant une opération de démantèlement coordonnée d’infrastructure malveillante, avec déclarations officielles de Google/Mandiant et du FBI.

🧠 TTPs et IOCs détectés

TTP

  • T1583.008 — Acquire Infrastructure: Botnet (Resource Development)
  • T1110.003 — Brute Force: Password Spraying (Credential Access)
  • T1090.002 — Proxy: External Proxy (Command and Control)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1554 — Compromise Host Software Binary (Persistence)

IOC

Malware / Outils

  • NetNut (botnet)
  • Badbox 2.0 (botnet)

🟡 Indice de vérification factuelle : 56/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 4078 chars — texte complet (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/netnut-proxy-network-disrupted-2-million-infected-devices-cut-off/

🖴 Archive : https://web.archive.org/web/20260706070706/https://www.bleepingcomputer.com/news/security/netnut-proxy-network-disrupted-2-million-infected-devices-cut-off/