A NetNut, uma das maiores redes de proxy residencial do mundo, entrou na mira de uma operação conjunta envolvendo Google, FBI, Lumen e outros parceiros de segurança digital. Segundo o Google Threat Intelligence Group, a estrutura estava ligada a uma rede com pelo menos 2 milhões de dispositivos espalhados pelo mundo, usados para rotear tráfego de terceiros e dificultar a identificação de atividades maliciosas. Aparelhos comuns, como TVs conectadas, dispositivos Android e equipamentos domésticos, podiam funcionar como intermediários para criminosos esconderem rastros na internet, muitas vezes sem que o dono do aparelho tivesse conhecimento disso.

Por que a NetNut passou a ser investigada

A NetNut operava como uma rede de proxy residencial, um tipo de serviço que faz uma conexão parecer originada de uma casa comum, e não de um servidor comercial. Esse modelo tem usos legítimos, como testes técnicos e pesquisas de mercado, mas se torna problemático quando explorado por golpistas, grupos de espionagem ou criminosos digitais. Segundo o Google, em apenas uma semana de junho de 2026 foram observados 316 grupos distintos de ameaças usando possíveis nós de saída ligados à NetNut, incluindo grupos de cibercrime e espionagem identificados pela empresa.

Como uma rede de proxy se transforma em botnet

Proxy residencial não é automaticamente ilegal, e pode existir de forma legítima quando há consentimento claro do usuário, segurança adequada e controle sobre o uso da conexão. No caso investigado, no entanto, o Google afirmou ter alta confiança de que muitos dispositivos estavam sendo usados de maneira indevida, formando uma estrutura equivalente a uma botnet, rede de aparelhos controlados ou aproveitados por terceiros sem conhecimento dos donos.

Entre os dispositivos potencialmente envolvidos estão smart TVs e TV boxes com aplicativos suspeitos, celulares Android com apps de origem duvidosa, roteadores e modems vulneráveis, e equipamentos conectados usados para transmitir tráfego sem transparência para o usuário final. O risco concreto está em instalar um aplicativo que promete pequenos ganhos financeiros ou funções extras, e acabar cedendo o próprio endereço de IP para atividades sobre as quais o usuário não tem qualquer controle.

As conexões com malware por trás da operação

A ação contra a NetNut não partiu de uma suspeita isolada. Segundo a Reuters, o Google desativou contas e serviços usados em operações de comando e controle ligadas a malwares associados à NetNut, além de compartilhar informações técnicas com autoridades e parceiros do setor de segurança. Reportagens especializadas também apontaram possíveis ligações com o botnet Popa e variantes do malware Mirai, conhecido por transformar dispositivos conectados em ferramentas para ataques digitais em larga escala.

Quando um criminoso utiliza uma rede residencial para atacar empresas, testar senhas ou acessar sistemas já comprometidos, o tráfego tende a parecer originado de uma residência comum, o que dificulta bloqueios, investigações e filtros de segurança tradicionais. Um dos usos citados por especialistas é o password spraying, técnica em que invasores testam senhas comuns em um grande número de contas diferentes, distribuindo as tentativas para reduzir a chance de detecção, em vez de concentrar ataques repetidos contra uma única vítima.

O que esse caso significa para quem usa internet doméstica

O valor de um dispositivo doméstico para esse tipo de operação não está apenas nos arquivos armazenados nele, mas no endereço de IP que ele representa. Usar o IP de uma residência ajuda criminosos a driblar sistemas que bloqueiam acessos vindos de servidores comerciais suspeitos, o que torna redes de proxy residencial particularmente atraentes para golpes, fraudes, invasões e campanhas automatizadas de larga escala.

Segundo a Reuters, o FBI apreendeu domínios ligados à operação, e a Alarum Technologies, empresa controladora da NetNut, afirmou ter sido informada sobre a apreensão de parte desses domínios, declarando disposição para cooperar com as autoridades. A investigação segue em andamento, mas o alerta prático já é claro: um dispositivo conectado sem os devidos cuidados pode se tornar parte de uma estrutura de rede muito maior do que o usuário imagina.

Alguns sinais merecem atenção no uso doméstico da internet, como lentidão sem motivo aparente, aquecimento ou consumo elevado de energia por parte de um dispositivo, presença de aplicativos desconhecidos em celulares, TV boxes ou smart TVs, e promessas de ganho financeiro em troca de compartilhamento de internet ociosa. Nenhum desses sinais comprova isoladamente uma invasão, mas juntos justificam uma verificação mais cuidadosa dos equipamentos conectados em casa.

Como reduzir o risco de fazer parte de uma rede como essa

A primeira medida prática é desconfiar de qualquer aplicativo que ofereça pagamento em troca do uso da internet ociosa do usuário, já que raramente há transparência sobre quem vai utilizar essa conexão e com quais finalidades. Manter roteador, smart TV, TV box e celular sempre atualizados, remover aplicativos não utilizados, evitar a instalação de APKs fora de lojas oficiais e substituir senhas padrão de roteadores são medidas simples que reduzem significativamente a exposição a esse tipo de rede.

Revisar as permissões concedidas a aplicativos também ajuda: quando um app pede acesso desproporcional à sua função declarada, esse é geralmente um sinal de alerta relevante. Para empresas, a preocupação é ainda maior, já que o tráfego malicioso originado de IPs residenciais aparentemente normais exige que equipes de segurança olhem além do endereço de origem, observando comportamento, padrões de login e tentativas repetidas de acesso como indicadores mais confiáveis do que a simples geolocalização do IP.

O caso da NetNut demonstra que dispositivos conectados em ambientes domésticos podem ser incorporados, sem conhecimento do usuário, a operações de rede que vão muito além do uso doméstico original. Manter atenção redobrada antes de instalar aplicativos por impulso, especialmente os que prometem ganho financeiro fácil, continua sendo uma das formas mais eficazes de reduzir esse risco.