Google cible NetNut, vaste botnet proxy

Le coup porté à NetNut montre comment des appareils domestiques banals peuvent devenir des relais invisibles pour cybercriminalité et opérations d’espionnage.

Google a annoncé, début juillet 2026, une action coordonnée contre NetNut, également suivi sous le nom Popa, l’un des plus grands réseaux malveillants de proxys résidentiels observés sur internet. Menée avec le FBI, Lumen et d’autres partenaires, l’opération vise une infrastructure ayant enrôlé discrètement des millions d’appareils domestiques. Ces équipements servaient ensuite de relais loués à des cybercriminels. Après la perturbation du réseau IPIDEA en janvier 2026, cette nouvelle action confirme une campagne suivie contre un écosystème devenu central pour masquer intrusions, attaques par mots de passe et activités de renseignement.

Un botnet caché dans les salons

Un proxy résidentiel n’est pas un serveur anonyme loué dans un centre de données. Il s’appuie sur une adresse IP attribuée à un véritable abonné internet, dans un logement réel. Pour les systèmes de sécurité, le trafic semble donc provenir d’un foyer ordinaire. Cette apparence rend la détection plus complexe que face à une infrastructure connue de serveurs professionnels. C’est aussi la raison de son attrait pour les attaquants : l’activité malveillante se dissimule derrière l’empreinte numérique d’un utilisateur innocent.

Selon le Threat Intelligence Group de Google, NetNut regrouperait au moins 2 millions d’appareils dans le monde. La taille exacte de tels réseaux reste difficile à établir, car leurs opérateurs les fragmentent, les revendent et les recomposent. Cette estimation suffit toutefois à placer NetNut parmi les réseaux de proxys résidentiels les plus vastes et les plus populaires.

L’enrôlement des appareils suit deux voies principales. Certains produits sont déjà infectés avant leur achat. D’autres rejoignent le réseau après l’installation, par leur propriétaire, d’une application intégrant un code proxy caché. Une fois compromis, l’équipement devient un « exit node », autrement dit un point de sortie pour le trafic d’un tiers. L’utilisateur, lui, ne voit souvent rien.

Les cibles privilégiées ne sont pas des ordinateurs classiques. Les opérateurs s’intéressent aux téléviseurs connectés, boîtiers de streaming, décodeurs et autres appareils de salon que beaucoup de foyers ne considèrent pas comme des machines sensibles. D’après KrebsOnSecurity, un constat confirmé par Google, NetNut distribuait des kits de développement logiciels, ou SDK, destinés à ces équipements. GTIG a aussi identifié des composants de plugins NetNut associés à des botnets de grande ampleur, dont Badbox 2.0.

Le modèle commercial renforce le danger. NetNut ne vendait pas seulement un accès direct à son propre réseau. Il proposait aussi un programme de revente permettant à d’autres sociétés de commercialiser cette capacité sous leur marque. Google dit avoir un haut niveau de confiance dans le fait que plusieurs services connus de « proxy résidentiel » s’appuient en réalité sur le botnet NetNut. Le réseau devient alors une infrastructure commune, masquée par plusieurs vitrines commerciales.

Pour un particulier, l’impact peut être concret. Une adresse IP domestique transformée en couverture peut servir à lancer des intrusions, des tentatives de piratage ou d’autres usages non autorisés. Le fournisseur d’accès risque ensuite d’associer l’activité suspecte au foyer concerné, avec des blocages, des alertes ou une réputation réseau dégradée. Plus inquiétant encore, le trafic non autorisé passant par un appareil compromis peut exposer d’autres équipements présents sur le même réseau local.

Une riposte coordonnée, pas une fin de partie

Les abus observés par Google ne relèvent pas de l’hypothèse. Pendant une seule semaine de juin 2026, GTIG a repéré 316 groupes de menaces distincts utilisant des nœuds de sortie soupçonnés d’appartenir à NetNut. Le mélange comprenait des acteurs cybercriminels et des groupes liés à l’espionnage. Ils utilisaient cette infrastructure pour masquer leur origine lors d’intrusions dans des environnements victimes, ainsi que pour mener des attaques par pulvérisation de mots de passe. Des chercheurs de Synthient, Spur et Nokia Deepfield ont aussi documenté l’usage de NetNut dans l’infection d’appareils par des variantes du botnet DDoS Mirai.

L’action de Google s’est organisée autour de trois leviers. Le premier a consisté à couper le commandement et contrôle, ou C2, en désactivant les comptes et services que NetNut utilisait en violation des conditions d’utilisation et des règles d’usage acceptable de Google. Le deuxième a reposé sur le partage de renseignement technique. GTIG a transmis des éléments sur les SDK de NetNut et son infrastructure backend à des plateformes, à des forces de l’ordre et à des sociétés de recherche. Le troisième volet concerne les utilisateurs Android : Google Play Protect avertit désormais les personnes exposées, désactive les applications connues pour embarquer les SDK NetNut et bloque les nouvelles installations identifiées.

Google estime que ces mesures ont fortement dégradé le réseau et son activité commerciale, en réduisant de plusieurs millions le nombre d’appareils disponibles. L’entreprise souligne toutefois un point essentiel : cet écosystème reste glissant. Après l’action contre IPIDEA, GTIG a observé que certains opérateurs compensaient l’affaiblissement de leur propre botnet en achetant de la capacité auprès de concurrents. Ils deviennent alors revendeurs à leur tour. Le secteur fonctionne par chevauchements, avec des botnets partagés, loués et revendus.

Cette structure limite l’effet d’une opération isolée, même importante. Pour obtenir un impact durable, Google estime nécessaire de maintenir une pression coordonnée sur plusieurs fournisseurs interconnectés, en particulier contre leurs infrastructures C2. L’entreprise appelle les plateformes mobiles, les fournisseurs d’accès internet et les acteurs technologiques à partager davantage de renseignement et à agir directement contre les relais malveillants.

La protection des particuliers repose d’abord sur la prudence. DataSecurityBreach.fr vous rappelle que les applications promettant de rémunérer le « partage de bande passante » ou l’« internet inutilisé » doivent être considérées avec méfiance. Ces offres peuvent ouvrir une brèche réelle dans un réseau domestique. Mieux vaut privilégier les boutiques officielles, examiner les autorisations demandées par les VPN ou proxys tiers.

Dans cette affaire, le renseignement cyber rappelle une évidence souvent négligée : l’appareil oublié près du téléviseur peut devenir une ressource louée par l’adversaire.

[Sources]

Accès firewall root à vendre !

Cinq accès root à des pare-feu Linux sont proposés par un pirate informatique, visant des secteurs sensibles.

Un courtier d’accès initial annonce cinq accès distincts à des organisations situées dans quatre pays. Chaque offre promet le même niveau de compromission : exécution de code à distance avec droits root et shell sur un pare-feu Linux. Les cibles ne sont décrites que par secteur et pays : énergie aux Émirats arabes unis, pharmacie de détail aux États-Unis, électronique en Corée du Sud, logistique en Arabie saoudite, centre d’appels aux États-Unis. Aucun accès n’est confirmé. Un signal faible malveillant qui doit faire tendre l’oreille.

Une série d’annonces au profil identique

Le signal tient d’abord à sa répétition. Cinq annonces, publiées le même jour et rattachées au même alias, décrivent une compromission supposée d’équipements de sécurité placés au bord des réseaux. L’acteur se présente comme un courtier d’accès initial, une catégorie d’intermédiaires qui revend des portes d’entrée plutôt que des données déjà exfiltrées.

Dans ce cas, le pirate informatique miyako affirme disposer d’un accès root, avec exécution de code à distance et shell, sur des appliances firewall fonctionnant sous Linux. Cette combinaison, si elle était réelle, donnerait à un acheteur un contrôle profond sur un point de passage stratégique. Un pare-feu n’est pas un simple serveur annexe : il observe, filtre et sépare les flux entre l’extérieur et les environnements internes. Le placer sous contrôle hostile reviendrait à transformer un rempart en tête de pont.

Le prix intrigue autant que la promesse technique. Chaque accès est affiché à 400 $ (368,6 euros), sans discussion possible. La conversion en euros repose sur le taux implicite fourni dans la consigne, soit 250 millions de dollars convertis en 230,4 millions d’euros, ce qui donne environ 0,9216 euro pour 1 dollar. Appliqué à 400 dollars, le montant atteint 368,64 euros, arrondi ici à 368,6 euros. Ce tarif uniforme, très bas au regard du niveau d’accès annoncé, ne suffit pas à évaluer la réalité opérationnelle des offres. Il peut signaler une tentative de vente rapide, une faible qualité des accès, une absence de validation ou une simple opération d’appât.

Les revenus des organisations visées sont tous indiqués comme inconnus. Aucun nom d’entreprise n’apparaît. Les captures mentionnées sont des aperçus expurgés, associés à cinq intitulés : prestataire de services pétroliers aux Émirats arabes unis, chaîne de pharmacies aux États-Unis, entreprise d’électronique en Corée du Sud, société saoudienne de logistique et de chaîne d’approvisionnement, opération américaine de centre d’appels. Le canal de contact Session est mentionné comme retenu et n’est pas reproduit.

Cette sobriété forcée limite l’analyse. Les annonces ne permettent pas d’identifier une victime, de vérifier un périmètre technique, ni de confirmer l’existence d’un accès actif. Elles documentent une revendication commerciale, pas une compromission démontrée.

Un risque élevé, malgré un statut non vérifié

Le niveau de gravité est évalué comme élevé, non parce que les accès sont prouvés, plutôt en raison de ce qu’ils prétendent offrir. Un accès root avec shell sur un pare-feu Linux donnerait potentiellement un contrôle administratif complet. Dans un scénario réaliste, un tel point d’entrée pourrait faciliter la reconnaissance interne, le rebond vers d’autres systèmes, la capture de flux, l’ouverture de tunnels clandestins ou la préparation d’une intrusion plus destructrice.

L’intérêt cyber et renseignement se situe dans la nature des secteurs évoqués. L’énergie, la santé de proximité, le commerce de détail pharmaceutique, la fabrication électronique, la logistique et les centres d’appels forment des environnements riches en données, en dépendances opérationnelles et en connexions avec des tiers. Même sans nommer les entreprises, la distribution géographique indique une sélection internationale : deux cibles aux États-Unis, une aux Émirats arabes unis, une en Corée du Sud et une en Arabie saoudite.

Le cas du prestataire pétrolier émirien renvoie à un secteur où l’accès réseau peut avoir une valeur stratégique. La pharmacie de détail américaine combine données personnelles, flux de paiement et continuité de service. L’électronique sud-coréenne suggère un intérêt possible pour la propriété intellectuelle ou les chaînes industrielles. La logistique saoudienne touche aux échanges physiques et aux dépendances de transport. Le centre d’appels américain peut exposer des données clients, des identifiants internes ou des accès applicatifs utilisés par les opérateurs.

Rien, toutefois, ne permet d’affirmer que ces organisations ont été compromises. Le statut reste explicitement non vérifié. Les annonces relèvent du marché de l’accès initial, non d’une fuite de données confirmée. Cette distinction est essentielle : l’acteur ne publie pas de base volée, ne cite pas de victime identifiable et ne fournit pas, dans les éléments disponibles, de preuve technique exploitable par un tiers indépendant.

Le caractère groupé des cinq publications mérite néanmoins attention. Le même profil d’accès, le même tarif, le même type d’équipement et le même contact suggèrent un lot unique attribué à un seul vendeur. Cela peut indiquer l’exploitation d’une même faiblesse sur plusieurs pare-feu, une collecte opportuniste d’accès disparates, ou une mise en scène commerciale recyclant un modèle d’annonce. Sans éléments supplémentaires, ces hypothèses restent ouvertes.

Pour les défenseurs, l’enseignement principal se trouve dans le périmètre : le pare-feu, souvent perçu comme un outil de protection, devient une cible de premier rang. La surveillance des comptes administratifs, des shells inhabituels, des modifications de règles, des connexions sortantes anormales et des accès distants non attendus demeure centrale. Un équipement exposé, lorsqu’il est compromis, peut masquer l’intrusion derrière l’apparence du trafic légitime.

Cette affaire illustre la logique froide du courtage d’accès : vendre une position au seuil du réseau, sans bruit public, avant qu’un autre acteur ne transforme cette ouverture en opération plus lourde.