Archives par mot-clé : Lumen

Google cible NetNut, vaste botnet proxy

Le coup porté à NetNut montre comment des appareils domestiques banals peuvent devenir des relais invisibles pour cybercriminalité et opérations d’espionnage.

Google a annoncé, début juillet 2026, une action coordonnée contre NetNut, également suivi sous le nom Popa, l’un des plus grands réseaux malveillants de proxys résidentiels observés sur internet. Menée avec le FBI, Lumen et d’autres partenaires, l’opération vise une infrastructure ayant enrôlé discrètement des millions d’appareils domestiques. Ces équipements servaient ensuite de relais loués à des cybercriminels. Après la perturbation du réseau IPIDEA en janvier 2026, cette nouvelle action confirme une campagne suivie contre un écosystème devenu central pour masquer intrusions, attaques par mots de passe et activités de renseignement.

Un botnet caché dans les salons

Un proxy résidentiel n’est pas un serveur anonyme loué dans un centre de données. Il s’appuie sur une adresse IP attribuée à un véritable abonné internet, dans un logement réel. Pour les systèmes de sécurité, le trafic semble donc provenir d’un foyer ordinaire. Cette apparence rend la détection plus complexe que face à une infrastructure connue de serveurs professionnels. C’est aussi la raison de son attrait pour les attaquants : l’activité malveillante se dissimule derrière l’empreinte numérique d’un utilisateur innocent.

Selon le Threat Intelligence Group de Google, NetNut regrouperait au moins 2 millions d’appareils dans le monde. La taille exacte de tels réseaux reste difficile à établir, car leurs opérateurs les fragmentent, les revendent et les recomposent. Cette estimation suffit toutefois à placer NetNut parmi les réseaux de proxys résidentiels les plus vastes et les plus populaires.

L’enrôlement des appareils suit deux voies principales. Certains produits sont déjà infectés avant leur achat. D’autres rejoignent le réseau après l’installation, par leur propriétaire, d’une application intégrant un code proxy caché. Une fois compromis, l’équipement devient un « exit node », autrement dit un point de sortie pour le trafic d’un tiers. L’utilisateur, lui, ne voit souvent rien.

Les cibles privilégiées ne sont pas des ordinateurs classiques. Les opérateurs s’intéressent aux téléviseurs connectés, boîtiers de streaming, décodeurs et autres appareils de salon que beaucoup de foyers ne considèrent pas comme des machines sensibles. D’après KrebsOnSecurity, un constat confirmé par Google, NetNut distribuait des kits de développement logiciels, ou SDK, destinés à ces équipements. GTIG a aussi identifié des composants de plugins NetNut associés à des botnets de grande ampleur, dont Badbox 2.0.

Le modèle commercial renforce le danger. NetNut ne vendait pas seulement un accès direct à son propre réseau. Il proposait aussi un programme de revente permettant à d’autres sociétés de commercialiser cette capacité sous leur marque. Google dit avoir un haut niveau de confiance dans le fait que plusieurs services connus de « proxy résidentiel » s’appuient en réalité sur le botnet NetNut. Le réseau devient alors une infrastructure commune, masquée par plusieurs vitrines commerciales.

Pour un particulier, l’impact peut être concret. Une adresse IP domestique transformée en couverture peut servir à lancer des intrusions, des tentatives de piratage ou d’autres usages non autorisés. Le fournisseur d’accès risque ensuite d’associer l’activité suspecte au foyer concerné, avec des blocages, des alertes ou une réputation réseau dégradée. Plus inquiétant encore, le trafic non autorisé passant par un appareil compromis peut exposer d’autres équipements présents sur le même réseau local.

Une riposte coordonnée, pas une fin de partie

Les abus observés par Google ne relèvent pas de l’hypothèse. Pendant une seule semaine de juin 2026, GTIG a repéré 316 groupes de menaces distincts utilisant des nœuds de sortie soupçonnés d’appartenir à NetNut. Le mélange comprenait des acteurs cybercriminels et des groupes liés à l’espionnage. Ils utilisaient cette infrastructure pour masquer leur origine lors d’intrusions dans des environnements victimes, ainsi que pour mener des attaques par pulvérisation de mots de passe. Des chercheurs de Synthient, Spur et Nokia Deepfield ont aussi documenté l’usage de NetNut dans l’infection d’appareils par des variantes du botnet DDoS Mirai.

L’action de Google s’est organisée autour de trois leviers. Le premier a consisté à couper le commandement et contrôle, ou C2, en désactivant les comptes et services que NetNut utilisait en violation des conditions d’utilisation et des règles d’usage acceptable de Google. Le deuxième a reposé sur le partage de renseignement technique. GTIG a transmis des éléments sur les SDK de NetNut et son infrastructure backend à des plateformes, à des forces de l’ordre et à des sociétés de recherche. Le troisième volet concerne les utilisateurs Android : Google Play Protect avertit désormais les personnes exposées, désactive les applications connues pour embarquer les SDK NetNut et bloque les nouvelles installations identifiées.

Google estime que ces mesures ont fortement dégradé le réseau et son activité commerciale, en réduisant de plusieurs millions le nombre d’appareils disponibles. L’entreprise souligne toutefois un point essentiel : cet écosystème reste glissant. Après l’action contre IPIDEA, GTIG a observé que certains opérateurs compensaient l’affaiblissement de leur propre botnet en achetant de la capacité auprès de concurrents. Ils deviennent alors revendeurs à leur tour. Le secteur fonctionne par chevauchements, avec des botnets partagés, loués et revendus.

Cette structure limite l’effet d’une opération isolée, même importante. Pour obtenir un impact durable, Google estime nécessaire de maintenir une pression coordonnée sur plusieurs fournisseurs interconnectés, en particulier contre leurs infrastructures C2. L’entreprise appelle les plateformes mobiles, les fournisseurs d’accès internet et les acteurs technologiques à partager davantage de renseignement et à agir directement contre les relais malveillants.

La protection des particuliers repose d’abord sur la prudence. DataSecurityBreach.fr vous rappelle que les applications promettant de rémunérer le « partage de bande passante » ou l’« internet inutilisé » doivent être considérées avec méfiance. Ces offres peuvent ouvrir une brèche réelle dans un réseau domestique. Mieux vaut privilégier les boutiques officielles, examiner les autorisations demandées par les VPN ou proxys tiers.

Dans cette affaire, le renseignement cyber rappelle une évidence souvent négligée : l’appareil oublié près du téléviseur peut devenir une ressource louée par l’adversaire.

[Sources]