NetNut, l’un des plus vastes réseaux de proxy résidentiels malveillants jamais identifiés, vient de rendre l’âme. Identifié par les chercheurs de Google, NetNut fonctionnait en prenant le contrôle d’une large variété d’appareils grand public, comme des téléviseurs connectés, des boîtiers de streaming et d’autres équipements Android. Une fois sous la coupe des pirates, les appareils étaient utilisés pour masquer des opérations criminelles en ligne. Concrètement, les pirates vont louer l’adresse IP de l’appareil à d’autres cybercriminels. Ceux-ci vont s’en servir pour faire transiter tout leur trafic malveillant à l’insu du propriétaire des appareils. Ils passent ainsi sous le radar, et peuvent continuer à opérer dans l’anonymat.
À lire aussi : 25 millions d’identifiants piratés, 140 000 PC infectés – comment une opération de police a neutralisé deux redoutables virus
Des applications infectées par des virus
Dans la majorité des cas, les cybercriminels prennent le contrôle des appareils par le biais d’applications modifiées truffées de code malveillant. Les hackers derrière NestNut se sont notamment servis d’un malware bien connu, intitulé Badbox 2.0, pour glisser des modules proxy sur les appareils à l’insu des utilisateurs. Selon les investigations menées par le FBI, le malware d’origine chinoise touche des « millions d’appareils » dans le monde, et n’arrête pas de prendre de l’ampleur.
Deux millions d’appareils compromis
Une enquête indépendante menée par le journaliste spécialisé Brian Krebs a permis d’établir un lien entre un redoutable botnet, intitulé Popa, et la société NetNut, filiale de la société israélienne Alarum Technologies. Selon les investigations du journaliste, Popa fait partie de Vo1d, un gigantesque botnet programmé pour se propager à l’aide de boîtiers TV Android non officiels. Les chercheurs du Black Lotus Labs de Lumen, le botnet utilise chaque jour entre 1,5 et 2,5 millions d’adresses IP distinctes. Au moins deux millions de téléviseurs connectés, boîtiers de streaming et appareils Android à travers le monde ont été infectés et utilisés par le service de proxy NestNut.
Une montagne de gangs criminels s’est servi de NestNut pour orchestrer des cyberattaques. Le Google Threat Intelligence Group (GTIG), la branche de Google dédiée à l’analyse et à l’élimination des menaces informatiques, a identifié 316 groupes criminels utilisant NestNut en l’espace d’une seule semaine. Ces groupes ont mené des opérations de fraude en ligne, de l’espionnage à grande échelle, ou encore des vols de mots de passe. NestNut était une infrastructure criminelle clé, massivement exploitée par diverses entités. Google a d’ailleurs découvert que NetNut allait plus loin en proposant un système de revente en « marque blanche ». Plusieurs services de proxy vendus sous des noms différents utilisaient en réalité, et sans le dire à leurs clients, la même infrastructure NetNut en coulisses.
La riposte de Google
Pour mettre un terme aux activités de NestNut, Google a agi sur plusieurs fronts. Le géant de Mountain View a d’abord désactivé les comptes Google et les services associés utilisés par l’infrastructure de NestNut. Google a ensuite partagé des renseignements techniques détaillés avec les forces de l’ordre, en particulier avec le FBI, et des entreprises de recherche en sécurité. Une coalition de différents acteurs, notamment composée de Lumen Technologies et de la fondation Shadowserver, a ainsi vu le jour. L’infrastructure criminelle a été démantelée lors d’une opération survenue en juin 2026.
Enfin, Google a mis à jour Play Protect, son système de sécurité intégré à Android. Celui-ci est désormais capable de désactiver automatiquement les applications connues pour collaborer avec les criminels de NestNut. L’opération a « provoqué une dégradation significative du réseau de proxy de NetNut et de ses activités commerciales, réduisant de plusieurs millions le nombre d’appareils disponibles pour l’opérateur du proxy ».
Une enquête toujours en cours
Peu après les révélations de Google, Alarum Technologies, la maison mère de sa filiale NetNut, a réagi publiquement en contestant les accusations. Alarum affirme que ses outils reposent exclusivement sur un partage de bande passante consenti par les utilisateurs. Selon la société israélienne, tous les utilisateurs ont librement consenti à partager l’adresse IP de leurs appareils. L’entreprise assure appliquer des politiques de vérification d’identité et de surveillance des abus. Des assertions contestées par la société Spur, qui affirme que n’importe qui peut acheter un accès proxy sans devoir passer par des processus de validation complets. Alarum précise continuer d’enquêter pour déterminer si son réseau a pu être utilisé à des fins malveillantes par des tiers.
La contre-attaque menée de front par Google survient quelques mois après le démantèlement d’Ipidea, une entreprise chinoise spécialisée dans les proxy résidentiels. Là encore, Google avait agi de concert avec les autorités américaines pour libérer 9 millions d’appareils Android compromis par un vaste réseau criminel. Le géant de Mountain View ne se cache pas d’être en guerre contre les réseaux de proxy criminels.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Google

