2–3 de julho de 2026, o FBI, o Serviço de Receita dos EUA (IRS Criminal Investigation) e o Google Threat Intelligence Group desmantelaram em conjunto a NetNut — uma das maiores redes de proxies residenciais do mundo. Sob a fachada de um "provedor legal", escondia-se o botnet Popa, composto por mais de 2 milhões de dispositivos domésticos invadidos: Smart TVs, set-top boxes e gadgets Android. Este é o segundo desmantelamento público de um grande jogador do mercado em seis meses — e estabelece uma linha clara entre proxies residenciais legítimos e infraestrutura criminosa.
O que exatamente aconteceu
No dia 2 de julho, o Google Threat Intelligence Group (GTIG) desativou contas e serviços do Google que a NetNut usava para gerenciar o botnet (comando e controle). Paralelamente, o FBI, em conjunto com a divisão do IRS Criminal Investigation, apreendeu centenas de domínios relacionados à rede. O domínio principal netnut.com agora redireciona para um aviso do FBI sobre a confiscacão, enquanto o domínio netnut.io teve seu servidor DNS alterado para o característico ns1.fbi.seized.gov. Marcas relacionadas também foram apreendidas — proxyjet.io e divinetworks.com.
A NetNut é uma empresa pública israelense chamada Alarum Technologies Ltd (NASDAQ: ALAR) — ou seja, não se trata de um grupo clandestino, mas de um negócio negociado em bolsa. O advogado da empresa, Omer Weiss, afirmou que "a Alarum leva a situação a sério e cooperará plenamente com as autoridades para que qualquer abuso de sua infraestrutura seja minuciosamente investigado".
Segundo estimativas do Google, as ações coordenadas causaram "dano significativo à rede de proxies NetNut e ao seu negócio, reduzindo o pool disponível de dispositivos do operador em milhões". Este é um cenário clássico: em janeiro de 2026, o Google desmantelou uma rede concorrente chamada IPIDEA de maneira semelhante.
Como um botnet de 2 milhões de televisores se disfarçava de "proxies residenciais"
O botnet Popa operava pelo menos desde 2020. Os dispositivos eram incorporados à rede de três maneiras:
- Aplicativos trojanizados. Usuários baixavam aplicativos que pareciam inofensivos, como IPTV, streaming e "utilitários", que continham um proxy-SDK oculto. Assim funcionava, entre outros, o grande botnet Badbox 2.0, cujos plugins se cruzavam com a NetNut.
- Pré-instalação de fábrica. Algumas Smart TVs e set-top boxes de baixo custo chegavam ao comprador com um código de proxy já embutido — o dispositivo se tornava um exit-node imediatamente após ser desembrulhado.
- Vitrines de aplicativos infectadas. A escala do problema é enorme: segundo pesquisadores, o proxy-SDK estava presente em 42% dos aplicativos para LG webOS e mais de 26% dos aplicativos para Samsung Tizen.
Resultado: milhões de IPs domésticos reais, indistinguíveis de um usuário "vivo" — exatamente o que o mercado paga um prêmio. Apenas os proprietários dessas TVs não concordavam com nada e não recebiam dinheiro.
316 grupos em uma semana: para que isso era usado
O número mais alarmante do relatório do GTIG: apenas em uma semana de junho de 2026, o Google registrou 316 clusters de ameaças distintas que se originavam através dos nós da NetNut. Era uma mistura de cibercriminosos e grupos relacionados à espionagem. Os principais cenários:
- Password spraying. Os atacantes testavam senhas roubadas e adivinhadas, espalhando tentativas de login por milhares de IPs residenciais diferentes. Os sistemas de monitoramento de logins não detectam um volume anômalo de nenhuma fonte — a proteção clássica "pelo número de tentativas de um IP" se torna cega.
- Mascaramento durante ataques. O IP residencial ocultava a localização real ao acessar ambientes comprometidos das vítimas e a própria infraestrutura dos criminosos.
- Roubo de contas, fraude publicitária e scraping em massa — sob a cobertura de endereços "domésticos".
Um perigo adicional para os proprietários de dispositivos infectados: o tráfego de terceiros que passa pela sua TV está vinculado ao seu IP. Seus pedidos legítimos podem ser marcados como suspeitos e bloqueados por serviços vizinhos — e o atacante, se desejar, obtém um ponto de apoio em sua rede doméstica.
Por que isso afeta todo o mercado de proxies
A NetNut não apenas vendia seus serviços, mas também operava sob um modelo whitelabel: muitas "marcas" populares de proxies residenciais na verdade revendiam sua infraestrutura sob seus próprios nomes. O GTIG descreve diretamente a mecânica do mercado com a citação: "Quando o próprio botnet do operador degrada, os operadores de proxies começam a comprar capacidade de concorrentes, tornando-se revendedores". Ou seja, sob uma fachada bonita de terceiros, você poderia, sem saber, estar usando as mesmas TVs hackeadas.
Um segundo fracasso sistêmico — KYC fraco. Comprar acesso à infraestrutura era possível sem fornecer um nome verdadeiro, o que abriu a porta para centenas de clusters criminosos. E até mesmo a parte "limpa" do negócio foi afetada: a NetNut tinha uma divisão chamada DiviNetworks com proxies de ISP sob contratos diretos com provedores (que é um modelo legítimo), mas com o desmantelamento da rede, tudo foi atingido.
Para o usuário honesto, a conclusão é simples: a origem dos IPs não é uma "ética" abstrata, mas uma questão de sua resiliência operacional. O provedor de botnet pode ser apreendido em uma noite, seu pool de endereços envenenado pela reputação de centenas de criminosos, e o simples fato de usar tal rede representa um risco jurídico. É por isso que é importante entender a diferença entre os tipos de proxies e suas fontes: como funcionam os proxies residenciais e proxies móveis, e quando para a tarefa são suficientes proxies servidores rápidos e previsíveis, sem todo esse drama residencial.
Como distinguir um proxy residencial honesto de um botnet
O desmantelamento da NetNut é uma boa oportunidade para reavaliar a lista de verificação na escolha de um provedor. O que observar:
- Origem transparente do IP. Endereços residenciais e de ISP legítimos são obtidos por contratos diretos com provedores ou através de consentimento claramente documentado dos usuários em troca de compensação real. Se o provedor for evasivo sobre a origem do pool — isso é um sinal vermelho.
- Nenhum "pagamento por tráfego não utilizado". O Google alerta explicitamente para evitar aplicativos que oferecem pagamento por "compartilhamento de internet" ou "largura de banda não utilizada" — este é o principal vetor de infecção de proxies botnet. Se sua rede de proxies depende de tais aplicativos, você é parte do problema.
- KYC real e regras de uso. Um provedor que não pergunta quem você é e por quê, vende facilmente acesso tanto para você quanto para um grupo de password-spraying.
- Resiliência do pool. Endereços expostos em centenas de ataques rapidamente entram em listas negras de sistemas antifraude. Um pool limpo e gerenciado é mais estável onde o botnet já foi queimado.
Já discutimos detalhadamente como funcionam essas redes sombrias do ponto de vista de dispositivos infectados, no material sobre Smart TVs como exit-node de proxies residenciais — a história da NetNut é exatamente esse cenário, levado ao seu desfecho lógico com o mandado do FBI.
O que isso muda na prática
Para equipes que realizam web scraping, multi-accounting, automação de SMM ou simplesmente contornam bloqueios geográficos, a principal mensagem é a seguinte: o mercado de proxies residenciais está passando por uma "sanitização" dolorosa. Em seis meses, duas grandes redes foram publicamente desmanteladas (IPIDEA em janeiro, NetNut em julho), e o Google está sistematicamente desligando a infraestrutura C2 e alertando os usuários através do Play Protect. Os "residentes baratos de lugar nenhum" não são um negócio vantajoso, mas uma bomba-relógio: a rede pode ser desligada, o pool envenenado, e a conexão com tráfego criminoso cria riscos reputacionais e jurídicos.
Quem ganha é aquele que trata proxies como infraestrutura, e não como um recurso cinza: escolhe um provedor transparente, entende a origem dos endereços e seleciona o tipo apropriado para cada tarefa — residencial onde um IP "vivo" é necessário, móvel para plataformas mais sensíveis, e servidor onde velocidade e preço são importantes. A sanitização do mercado é desagradável no momento, mas a longo prazo torna o trabalho honesto mais resiliente — e devolve as TVs a seus proprietários.
```