Le FBI et Google démantèlent NetNut, un réseau de proxys caché dans deux millions d’appareils

Un ancien boîtier Android TV posé sur un meuble, type d'appareil détourné par le botnet Popa

Le FBI a saisi le 2 juillet 2026 des centaines de domaines liés à NetNut, un service de proxys résidentiels adossé au botnet baptisé Popa, qui détournait plus de deux millions d’appareils grand public pour maquiller le trafic de cybercriminels et de groupes d’espionnage.

L’opération, coordonnée avec le Google Threat Intelligence Group (GTIG), l’opérateur Lumen, la Shadowserver Foundation et la division criminelle de l’IRS américain, vise un rouage discret mais central de l’économie de la cybercriminalité, celui des proxys résidentiels qui font passer une connexion malveillante pour celle d’un particulier ordinaire.

Un botnet planqué dans les téléviseurs connectés

Selon le rapport publié par Google le 2 juillet, le réseau reposait majoritairement sur des appareils Android compromis, en particulier des téléviseurs connectés, des box de streaming et des applications non officielles comme un client SmartTube. Une fois infectés, ces équipements devenaient des relais routant du trafic tiers à l’insu de leurs propriétaires.

L’ampleur impressionne. Google chiffre à plus de deux millions le nombre d’appareils enrôlés dans le monde. Pour comparaison, cela dépasse le parc de nombreux fournisseurs d’accès régionaux, sauf qu’ici il s’agit d’un maillage clandestin d’objets domestiques transformés en infrastructure d’anonymisation.

À quoi sert un proxy résidentiel

Un proxy résidentiel fait transiter une connexion par l’adresse IP d’un particulier plutôt que par celle d’un centre de données. Vues de l’extérieur, les requêtes semblent alors émaner d’un internaute lambda, ce qui contourne la plupart des filtres anti-fraude et des géoblocages. Ces services existent légalement pour la veille tarifaire ou la vérification publicitaire, mais leur zone grise en fait un outil de choix pour dissimuler une attaque.

316 groupes malveillants en une semaine

Sur une seule semaine de juin 2026, Google dit avoir observé 316 groupes d’attaquants distincts utilisant les nœuds de sortie de NetNut. Les usages relevés couvrent le password spraying, le credential stuffing, la fraude publicitaire et l’aspiration massive de données. Certains de ces clusters seraient liés à des opérations d’espionnage soutenues par des États, selon le rapport, ce qui explique l’implication de la division criminelle de l’IRS et de partenaires spécialisés dans le suivi des menaces.

« Les acteurs malveillants peuvent utiliser NetNut pour masquer leur adresse IP d’origine lorsqu’ils accèdent aux environnements de leurs victimes », résume le Google Threat Intelligence Group. Le procédé complique fortement l’attribution, puisqu’une intrusion semble provenir d’une box de salon anodine plutôt que d’un serveur d’attaque.

Une entreprise cotée dans le viseur

NetNut n’est pas un service clandestin de fond de forum. Il est exploité par Alarum Technologies, société israélienne cotée au NASDAQ sous le symbole ALAR. Les domaines saisis incluent netnut.com, netnut.io, saisi le 3 juillet, puis alarum.io, retiré au plus tard le 8 juillet.

Sollicitée, l’entreprise a réagi par la voix de son conseil juridique. « Alarum prend cette affaire au sérieux et coopérera pleinement avec les forces de l’ordre pour que tout usage abusif de son infrastructure fasse l’objet d’une enquête approfondie », a déclaré Omer Weiss. La sanction boursière a été immédiate, l’action ayant chuté d’environ 67 % pour tomber à 2,62 dollars dans la semaine suivant la saisie, selon Krebs on Security.

Un coup porté à l’écosystème des proxys

Au-delà des saisies de domaines, Google a mené des mesures techniques parallèles, en désactivant des comptes associés à NetNut, en mettant à jour Google Play Protect et en retirant des applications compromises.

« Nous estimons que nos actions coordonnées ont provoqué une dégradation significative du réseau de proxys de NetNut et de ses activités commerciales, réduisant de plusieurs millions le vivier d’appareils disponibles pour l’opérateur », affirme la firme. Ces réseaux de proxys résidentiels prospèrent souvent dans une zone grise, vendus comme outils légitimes de collecte de données publiques tout en fournissant une couverture idéale aux campagnes offensives.

L’affaire relance la question de la responsabilité des fournisseurs de proxys quant à l’origine réelle de leur trafic. Les enquêteurs américains, épaulés par la Shadowserver Foundation qui assure le suivi des machines infectées, doivent encore préciser dans les prochaines semaines l’étendue exacte des victimes et l’identité des groupes ayant le plus exploité l’infrastructure Popa.

S'abonner à la newsletter