© Jakub Żerdzicki (Unsplash) Google vient de porter un coup fatal à NetNut, l’un des plus vastes réseaux de proxy résidentiels malveillants jamais identifiés. Ce réseau était parvenu à compromettre plus de deux millions d’appareils Android avant que Google ne passe à l’attaque. Cette opération, menée par Google en coordination avec le FBI, marque la nouvelle offensive du groupe à l’encontre des infrastructures criminelles.

NetNut, l’un des plus vastes réseaux de proxy résidentiels malveillants jamais identifiés, vient de rendre l’âme. Identifié par les chercheurs de Google, NetNut fonctionnait en prenant le contrôle d’une large variété d’appareils grand public, comme des téléviseurs connectés, des boîtiers de streaming et d’autres équipements Android. Une fois sous la coupe des pirates, les appareils étaient utilisés pour masquer des opérations criminelles en ligne.

Concrètement, les pirates vont louer l’adresse IP de l’appareil à d’autres cybercriminels. Ceux-ci vont s’en servir pour faire transiter tout leur trafic malveillant à l’insu du propriétaire des appareils. Ils passent ainsi sous le radar, et peuvent continuer à opérer dans l’anonymat.

À lire aussi : 25 millions d’identifiants piratés, 140 000 PC infectés – comment une opération de police a neutralisé deux redoutables virus Des applications infectées par des virus Dans la majorité des cas, les cybercriminels prennent le contrôle des appareils par le biais d’applications modifiées truffées de code malveillant. Les hackers derrière NestNut se sont notamment servis d’un malware bien connu, intitulé Badbox 2.0, pour glisser des modules proxy sur les appareils à l’insu des utilisateurs. Selon les investigations menées par le FBI, le malware d’origine chinoise touche des « millions d’appareils » dans le monde, et n’arrête pas de prendre de l’ampleur.

Deux millions d’appareils compromis Une enquête indépendante menée par le journaliste spécialisé Brian Krebs a permis d’établir un lien entre un redoutable botnet, intitulé Popa, et la société NetNut, filiale de la société israélienne Alarum Technologies. Selon les investigations du journaliste, Popa fait partie de Vo1d, un gigantesque botnet programmé pour se propager à l’aide de boîtiers TV Android non officiels. Les chercheurs du Black Lotus Labs de Lumen, le botnet utilise chaque jour entre 1,5 et 2,5 millions d’adresses IP distinctes.

Au moins deux millions de téléviseurs connectés, boîtiers de streaming et appareils Android à travers le monde ont été infectés et utilisés par le service de proxy NestNut. Une montagne de gangs criminels s’est servi de NestNut pour orchestrer des cyberattaques. Le Google Threat Intelligence Group (GTIG), la branche de Google dédiée à l’analyse et à l’élimination des menaces informatiques, a identifié 316 groupes criminels utilisant NestNut en l’espace d’une seule semaine.

Ces groupes ont mené des opérations de fraude en ligne, de l’espionnage à grande échelle, ou encore des vols de mots de passe. NestNut était une infrastructure criminelle clé, massivement exploitée par diverses entités. Google a d’ailleurs découvert que NetNut allait plus loin en proposant un système de revente en « marque blanche ».

Plusieurs services de proxy vendus sous des noms différents utilisaient en réalité, et sans le dire à leurs clients, la même infrastructure NetNut en coulisses. La riposte de Google Pour mettre un terme aux activités de NestNut, Google a agi sur plusieurs fronts. Le géant de Mountain View a d’abord désactivé les comptes Google et les services associés utilisés par l’infrastructure de NestNut.

Google a ensuite partagé des renseignements techniques détaillés avec les forces de l’ordre, en particulier avec le FBI, et des entreprises de recherche en sécurité. Une coalition de différents acteurs, notamment composée de Lumen Technologies et de la fondation Shadowserver, a ainsi vu le jour. L’infrastructure criminelle a été démantelée lors d’une opération survenue en juin 2026.

Enfin, Google a mis à jour Play Protect, son système de sécurité intégré à Android. Celui-ci est désormais capable de désactiver automatiquement les applications connues pour collaborer avec les criminels de NestNut. L’opération a « provoqué une dégradation significative du réseau de proxy de NetNut et de ses activités commerciales, réduisant de plusieurs millions le nombre d’appareils disponibles pour l’opérateur du proxy ».

Une enquête toujours en cours Peu après les révélations de Google, Alarum Technologies, la maison mère de sa filiale NetNut, a réagi publiquement en contestant les accusations. Alarum affirme que ses outils reposent exclusivement sur un partage de bande passante consenti par les utilisateurs. Selon la société israélienne, tous les utilisateurs ont librement consenti à partager l’adresse IP de leurs appareils.

L’entreprise assure appliquer des politiques de vérification d’identité et de surveillance des abus. Des assertions contestées par la société Spur, qui affirme que n’importe qui peut acheter un accès proxy sans devoir passer par des processus de validation complets. Alarum précise continuer d’enquêter pour déterminer si son réseau a pu être utilisé à des fins malveillantes par des tiers.

La contre-attaque menée de front par Google survient quelques mois après le démantèlement d’Ipidea, une entreprise chinoise spécialisée dans les proxy résidentiels. Là encore, Google avait agi de concert avec les autorités américaines pour libérer 9 millions d’appareils Android compromis par un vaste réseau criminel. Le géant de Mountain View ne se cache pas d’être en guerre contre les réseaux de proxy criminels. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. Source : Google BotnetFBIGoogleproxy Florian Bayard Sur le même sujet Mise à jour massive de Chrome : Google a colmaté près de 400 failles 4,1 milliards d’euros d’amende : Google solde huit ans de guerre avec l’Europe Alerte au botnet : le redoutable RustDuck réécrit son code pour mieux vous piéger Une faille de sécurité menace 5 milliards de smartphones Apple et Android : voici comment vous en protéger Meilleur antivirus 2026 : lequel choisir ?

Quel est le meilleur VPN ? Meilleur stockage cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ?

Tutoriel 3 étapes 2026 Meilleur gestionnaire de mots de passe : le guide en juillet 2026 Meilleur VPN gratuit : 7 options à choisir + 2 à fuir Les dernières actualités 2 millions de TV et de boîtiers Android piratés : Google démantèle un gigantesque réseau criminel Fin des jeux physiques sur PlayStation : Sony a une bonne nouvelle pour les joueurs Samsung Galaxy Z Fold 8 : les prix européens fuitent, et l’addition est surréaliste La solution à la crise du stockage ? Ce mini PC troque son SSD contre du stockage de smartphone Sector Alarm : est-il possible d’installer un système d’alarme sans connexion Internet ? L’iPhone Ultra aurait un point commun avec l’iPhone X, et ce n’est pas une bonne nouvelle Fiat ressuscite le Multipla : un look rétro et électrique qui fait déjà sensation Les data centers spatiaux d’Elon Musk seraient une menace pour les grands télescopes Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro