Voltar ao blog

FBI e Google derrubam NetNut: 2 milhões de Smart TVs hackeadas na rede de proxies residenciais

2–3 de julho de 2026, o FBI, a Receita Federal dos EUA e o Google Threat Intelligence Group desmantelaram a NetNut — uma das maiores redes de proxies residenciais, que se revelou ser um botnet Popa com 2 milhões de Smart TVs e set-top boxes hackeadas. Em uma semana, 316 grupos operaram através dela. Vamos analisar como isso funciona e como distinguir um proxy residencial legítimo de um criminoso.

📅4 de julho de 2026
FBI e Google derrubam NetNut: 2 milhões de Smart TVs hackeadas na rede de proxies residenciais
```html

2–3 de julho de 2026, o FBI, o Serviço de Receita dos EUA (IRS Criminal Investigation) e o Google Threat Intelligence Group desmantelaram em conjunto a NetNut — uma das maiores redes de proxies residenciais do mundo. Sob a fachada de um "provedor legal", escondia-se o botnet Popa, composto por mais de 2 milhões de dispositivos domésticos invadidos: Smart TVs, set-top boxes e gadgets Android. Este é o segundo desmantelamento público de um grande jogador do mercado em seis meses — e estabelece uma linha clara entre proxies residenciais legítimos e infraestrutura criminosa.

O que exatamente aconteceu

No dia 2 de julho, o Google Threat Intelligence Group (GTIG) desativou contas e serviços do Google que a NetNut usava para gerenciar o botnet (comando e controle). Paralelamente, o FBI, em conjunto com a divisão do IRS Criminal Investigation, apreendeu centenas de domínios relacionados à rede. O domínio principal netnut.com agora redireciona para um aviso do FBI sobre a confiscacão, enquanto o domínio netnut.io teve seu servidor DNS alterado para o característico ns1.fbi.seized.gov. Marcas relacionadas também foram apreendidas — proxyjet.io e divinetworks.com.

A NetNut é uma empresa pública israelense chamada Alarum Technologies Ltd (NASDAQ: ALAR) — ou seja, não se trata de um grupo clandestino, mas de um negócio negociado em bolsa. O advogado da empresa, Omer Weiss, afirmou que "a Alarum leva a situação a sério e cooperará plenamente com as autoridades para que qualquer abuso de sua infraestrutura seja minuciosamente investigado".

Segundo estimativas do Google, as ações coordenadas causaram "dano significativo à rede de proxies NetNut e ao seu negócio, reduzindo o pool disponível de dispositivos do operador em milhões". Este é um cenário clássico: em janeiro de 2026, o Google desmantelou uma rede concorrente chamada IPIDEA de maneira semelhante.

Como um botnet de 2 milhões de televisores se disfarçava de "proxies residenciais"

O botnet Popa operava pelo menos desde 2020. Os dispositivos eram incorporados à rede de três maneiras:

  • Aplicativos trojanizados. Usuários baixavam aplicativos que pareciam inofensivos, como IPTV, streaming e "utilitários", que continham um proxy-SDK oculto. Assim funcionava, entre outros, o grande botnet Badbox 2.0, cujos plugins se cruzavam com a NetNut.
  • Pré-instalação de fábrica. Algumas Smart TVs e set-top boxes de baixo custo chegavam ao comprador com um código de proxy já embutido — o dispositivo se tornava um exit-node imediatamente após ser desembrulhado.
  • Vitrines de aplicativos infectadas. A escala do problema é enorme: segundo pesquisadores, o proxy-SDK estava presente em 42% dos aplicativos para LG webOS e mais de 26% dos aplicativos para Samsung Tizen.

Resultado: milhões de IPs domésticos reais, indistinguíveis de um usuário "vivo" — exatamente o que o mercado paga um prêmio. Apenas os proprietários dessas TVs não concordavam com nada e não recebiam dinheiro.

316 grupos em uma semana: para que isso era usado

O número mais alarmante do relatório do GTIG: apenas em uma semana de junho de 2026, o Google registrou 316 clusters de ameaças distintas que se originavam através dos nós da NetNut. Era uma mistura de cibercriminosos e grupos relacionados à espionagem. Os principais cenários:

  • Password spraying. Os atacantes testavam senhas roubadas e adivinhadas, espalhando tentativas de login por milhares de IPs residenciais diferentes. Os sistemas de monitoramento de logins não detectam um volume anômalo de nenhuma fonte — a proteção clássica "pelo número de tentativas de um IP" se torna cega.
  • Mascaramento durante ataques. O IP residencial ocultava a localização real ao acessar ambientes comprometidos das vítimas e a própria infraestrutura dos criminosos.
  • Roubo de contas, fraude publicitária e scraping em massa — sob a cobertura de endereços "domésticos".

Um perigo adicional para os proprietários de dispositivos infectados: o tráfego de terceiros que passa pela sua TV está vinculado ao seu IP. Seus pedidos legítimos podem ser marcados como suspeitos e bloqueados por serviços vizinhos — e o atacante, se desejar, obtém um ponto de apoio em sua rede doméstica.

Por que isso afeta todo o mercado de proxies

A NetNut não apenas vendia seus serviços, mas também operava sob um modelo whitelabel: muitas "marcas" populares de proxies residenciais na verdade revendiam sua infraestrutura sob seus próprios nomes. O GTIG descreve diretamente a mecânica do mercado com a citação: "Quando o próprio botnet do operador degrada, os operadores de proxies começam a comprar capacidade de concorrentes, tornando-se revendedores". Ou seja, sob uma fachada bonita de terceiros, você poderia, sem saber, estar usando as mesmas TVs hackeadas.

Um segundo fracasso sistêmico — KYC fraco. Comprar acesso à infraestrutura era possível sem fornecer um nome verdadeiro, o que abriu a porta para centenas de clusters criminosos. E até mesmo a parte "limpa" do negócio foi afetada: a NetNut tinha uma divisão chamada DiviNetworks com proxies de ISP sob contratos diretos com provedores (que é um modelo legítimo), mas com o desmantelamento da rede, tudo foi atingido.

Para o usuário honesto, a conclusão é simples: a origem dos IPs não é uma "ética" abstrata, mas uma questão de sua resiliência operacional. O provedor de botnet pode ser apreendido em uma noite, seu pool de endereços envenenado pela reputação de centenas de criminosos, e o simples fato de usar tal rede representa um risco jurídico. É por isso que é importante entender a diferença entre os tipos de proxies e suas fontes: como funcionam os proxies residenciais e proxies móveis, e quando para a tarefa são suficientes proxies servidores rápidos e previsíveis, sem todo esse drama residencial.

Como distinguir um proxy residencial honesto de um botnet

O desmantelamento da NetNut é uma boa oportunidade para reavaliar a lista de verificação na escolha de um provedor. O que observar:

  1. Origem transparente do IP. Endereços residenciais e de ISP legítimos são obtidos por contratos diretos com provedores ou através de consentimento claramente documentado dos usuários em troca de compensação real. Se o provedor for evasivo sobre a origem do pool — isso é um sinal vermelho.
  2. Nenhum "pagamento por tráfego não utilizado". O Google alerta explicitamente para evitar aplicativos que oferecem pagamento por "compartilhamento de internet" ou "largura de banda não utilizada" — este é o principal vetor de infecção de proxies botnet. Se sua rede de proxies depende de tais aplicativos, você é parte do problema.
  3. KYC real e regras de uso. Um provedor que não pergunta quem você é e por quê, vende facilmente acesso tanto para você quanto para um grupo de password-spraying.
  4. Resiliência do pool. Endereços expostos em centenas de ataques rapidamente entram em listas negras de sistemas antifraude. Um pool limpo e gerenciado é mais estável onde o botnet já foi queimado.

Já discutimos detalhadamente como funcionam essas redes sombrias do ponto de vista de dispositivos infectados, no material sobre Smart TVs como exit-node de proxies residenciais — a história da NetNut é exatamente esse cenário, levado ao seu desfecho lógico com o mandado do FBI.

O que isso muda na prática

Para equipes que realizam web scraping, multi-accounting, automação de SMM ou simplesmente contornam bloqueios geográficos, a principal mensagem é a seguinte: o mercado de proxies residenciais está passando por uma "sanitização" dolorosa. Em seis meses, duas grandes redes foram publicamente desmanteladas (IPIDEA em janeiro, NetNut em julho), e o Google está sistematicamente desligando a infraestrutura C2 e alertando os usuários através do Play Protect. Os "residentes baratos de lugar nenhum" não são um negócio vantajoso, mas uma bomba-relógio: a rede pode ser desligada, o pool envenenado, e a conexão com tráfego criminoso cria riscos reputacionais e jurídicos.

Quem ganha é aquele que trata proxies como infraestrutura, e não como um recurso cinza: escolhe um provedor transparente, entende a origem dos endereços e seleciona o tipo apropriado para cada tarefa — residencial onde um IP "vivo" é necessário, móvel para plataformas mais sensíveis, e servidor onde velocidade e preço são importantes. A sanitização do mercado é desagradável no momento, mas a longo prazo torna o trabalho honesto mais resiliente — e devolve as TVs a seus proprietários.

```