Google et le FBI démantèlent NetNut : 2 millions d'appareils domestiques loués comme proxy
Google Threat Intelligence Group et le FBI perturbent NetNut le 2 juillet 2026. Réseau de proxy résidentiel bâti sur 2 M d'appareils infectés, utilisé par 316 clusters malveillants en une semaine.
Le 2 juillet 2026, Google Threat Intelligence Group (GTIG), le FBI et la division Criminal Investigation de l'IRS ont perturbé de manière coordonnée NetNut, un réseau de proxy résidentiel bâti sur environ 2 millions d'appareils domestiques compromis — téléviseurs connectés, box de streaming, matériel IoT préinfecté avant vente. GTIG documente l'opération sur son blog Google Cloud Threat Intelligence, et Krebs on Security confirme la saisie de centaines de domaines par le FBI. Côté francophone, Generation-NT a repris la nouvelle le jour même.
Ce qui a été perturbé
- Le 2 juillet, GTIG a désactivé les comptes Google et les services de commande et de contrôle utilisés par NetNut.
- Le FBI, avec l'IRS-CI, a saisi plusieurs centaines de domaines liés au réseau, dont le domaine principal
netnut.ioet l'infrastructure liée au botnet Popa (chargé, en amont, d'infecter les nœuds). - Google indique une dégradation significative du parc de proxies exploitables, avec un retrait de plusieurs millions d'appareils de la piscine disponible.
NetNut se présentait publiquement comme un fournisseur de proxies légitime, adossé à Alarum Technologies, société israélienne cotée au Nasdaq. GTIG écrit que la même infrastructure servait à des acteurs criminels et à des groupes d'espionnage étatique — l'écart entre l'offre commerciale et l'usage réel étant, ici, le nœud de l'affaire.
Comment le réseau était alimenté
Deux vecteurs, documentés par GTIG :
- SDK intégrés dans des applications tierces, souvent sans consentement explicite de l'utilisateur final : téléchargement d'une app anodine, activation silencieuse du nœud de sortie, et l'appareil devient un relais loué à la journée.
- Matériel préinfecté avant commercialisation, principalement du côté d'objets connectés bon marché : télévisions Android, boîtiers TV, dongles HDMI. La chaîne d'approvisionnement est plus courte à corrompre que le patch continu de millions d'utilisateurs finaux.
Sur une semaine de juin 2026, GTIG a observé 316 clusters d'acteurs malveillants distincts utilisant les nœuds de sortie NetNut — dont, selon Google, des groupes de rançongiciel, des opérateurs d'infostealers, et plusieurs clusters d'espionnage attribués à des États. Les usages documentés : password spraying contre des tenants cloud d'entreprise, accès à des infrastructures compromises pour brouiller la géolocalisation, exfiltration de données via des adresses IP résidentielles qui contournent les listes de blocage.
Ce que ça change concrètement pour les défenseurs
Le point important n'est pas la disparition de NetNut — le marché des proxies résidentiels est fragmenté, et la piscine sera reconstituée ailleurs en quelques semaines — mais la baseline de détection. Les IP résidentielles qui parlaient à des tenants Microsoft 365, Google Workspace, Okta, ou à des consoles cloud d'entreprise en juin 2026 étaient statistiquement plus susceptibles d'appartenir à NetNut qu'à un utilisateur légitime en télétravail. Les logs de cette période contiennent donc des accès frauduleux masqués en résidentiel qu'il est encore temps de retrouver.
Que faire
- Rejouer les logs d'authentification cloud sur les 60 derniers jours en cherchant des sessions depuis des ASN grand public (résidentiel FAI) sur des comptes admin, service, ou à MFA récent. Les indicateurs d'usage NetNut mentionnés par GTIG — sessions courtes, adresses IP domestiques, agents utilisateurs banals — recouvrent le pattern typique du password spraying à faible bruit.
- Renforcer la détection sur les adresses IP résidentielles vers les portails admin. Les fournisseurs de threat intel (Spamhaus, Team Cymru, Cloudflare, Spur.us) publient des flux de résidentiels proxifiés — les intégrer côté SIEM et alerter, ne pas bloquer aveuglément.
- Auditer les SDK tiers embarqués dans les apps mobiles internes. Le vecteur NetNut passe par des SDK monétisés qui rémunèrent l'éditeur de l'app en échange de l'usage de la bande passante des utilisateurs. Si votre app en embarque un, vos utilisateurs peuvent être devenus nœuds de sortie à leur insu.
- Sur le parc de smart TV et box de streaming en environnement d'entreprise, redémarrer les appareils et vérifier les mises à jour firmware. Le préinfecté-avant-vente n'est pas corrigé par une simple mise à jour applicative.
- Suivre le blog GTIG pour la liste des domaines et clusters IOC quand elle sera publiée.
Contexte
C'est la deuxième opération majeure de démantèlement d'un botnet de proxy résidentiel en un an. La précédente ciblait Ngioweb / 911 S5, dont le démantèlement en mai 2024 avait mis hors ligne 19 millions d'IP compromises. Le modèle économique — locations à la journée d'IP résidentielles pour contourner les protections anti-abus des services cloud — n'a pas disparu ; il s'est simplement redistribué chez des concurrents (BrightData, IPRoyal, Rayobyte) et chez des acteurs opaques comme NetNut.
Pour la France, l'enjeu est direct. Les 2 millions d'appareils NetNut sont distribués sur un parc mondial, mais l'observation GTIG des 316 clusters porte sur des cibles corporate : les tenants Microsoft 365 des ETI françaises, les consoles AWS et Google Cloud des grands comptes, les portails Okta et Azure AD — tout cela figure dans la surface d'usage du réseau. Les CERT sectoriels français (CERT-FR, CERT Santé, InterCERT) publient régulièrement des IOC de proxies résidentiels ; croiser les listes en cours d'année avec les logs authentification est un exercice à faible coût et à valeur immédiate.
Prochain point de veille : la liste des IOC que Google et le FBI publieront (via FBI IC3 alerts et le blog GTIG) dans les jours qui suivent la saisie. C'est cette liste qui rendra la remédiation opérationnelle.