O que foi desmantelado
Em 2 de julho de 2026, o Threat Intelligence Group da Google, com o FBI, a Lumen, a Shadowserver Foundation e a IRS Criminal Investigation, agiu contra a NetNut, uma rede de proxies residenciais que a Google também rastreia como Popa e estima em não menos de 2 milhões de dispositivos em todo o mundo. A Google desativou as contas e serviços que a rede usava para comando e controlo, partilhou detalhes técnicos dos SDKs escondidos com plataformas e investigadores e atualizou o Play Protect para avisar os utilizadores e desativar as aplicações com esse código. O FBI apreendeu centenas de domínios, incluindo netnut.com, que hoje exibe um aviso federal de apreensão. A investigação do Krebs on Security liga o serviço à Alarum Technologies, empresa cotada no Nasdaq, cujo advogado declarou que a empresa leva o assunto a sério e cooperará plenamente com as autoridades. É a segunda ação do género este ano, depois da rede IPIDEA em janeiro, e a Google afirma que a operação já reduziu em milhões o parque de dispositivos disponível.
O fim do IP suspeito
Uma rede de proxies residenciais aluga ligações domésticas comuns, pelo que o tráfego do atacante chega com o endereço da sala de estar de uma família e não o de um centro de dados estrangeiro. É exatamente por isso que se vende. Numa semana de junho, a Google contou 316 grupos hostis distintos, criminosos e de espionagem, a usar saídas presumidas da NetNut para esconder a proveniência, conduzir password spraying e, nalguns casos, saltar do software proxy para outros dispositivos da mesma rede doméstica. Para uma empresa portuguesa, isto quebra uma suposição silenciosa incorporada numa década de ferramentas de segurança: a de que o tráfego perigoso parece perigoso. Quando a tentativa de acesso às suas contas chega de um endereço residencial no seu próprio país, o bloqueio geográfico e as listas de reputação de IP não disparam. Funcionam os controlos que nunca confiaram em endereços: autenticação multifator em todo o lado, limites por conta e não por IP, e alertas sobre o comportamento em vez da origem.
Os seus dispositivos são a mercadoria
A outra metade da história é a origem desses 2 milhões de saídas: software pré-instalado em televisores e boxes de streaming sem marca antes da compra, e SDKs escondidos em aplicações que pagam aos programadores pela sua largura de banda não usada. O dono do aparelho raramente sabe que se tornou infraestrutura, mas é o endereço dele que aparece nos registos da vítima. Isso faz da compra de dispositivos um controlo de segurança, não uma preferência de consumo, em linha com o que o CNCS recomenda para a higiene do lar conectado: equipamentos certificados de fabricantes sérios, aplicações apenas de lojas oficiais e um não firme a tudo o que ofereça dinheiro por partilhar internet. Também recoloca a própria operação na luz certa. A repressão está a passar da detenção de atacantes individuais para o desmonte dos mercados cinzentos de infraestrutura que eles alugam, e este, notam os investigadores, funcionava dentro de uma empresa cotada. Quando o crime viaja sobre infraestrutura de massa, protege a disciplina sem brilho: saber o que está na sua rede e assumir que um endereço não prova nada.
Leia a seguir: Um modelo de fronteira retirado voltou a estar online · O Agente de IA Confia em Ferramenta Envenenada



