Démantèlements de proxys résidentiels : au tour de NetNut
Les proxys résidentiels, qui exploitent des adresses IP attribuées par les fournisseurs d’accès à Internet, continuent d’être une menace sérieuse dans le paysage numérique. Ces adresses sont souvent détournées d’appareils domestiques, tels que des routeurs ou des objets connectés, rendant leur détection difficile. Les acteurs malveillants privilégient ces proxys car ils ne sont pas systématiquement identifiés comme des serveurs VPN ou des hébergeurs, ce qui minimise le risque de blocage. Grâce à ces adresses, les attaquants peuvent masquer l’origine de leurs connexions.
Ces serveurs mandataires sont utilisés pour diverses activités malveillantes, notamment les campagnes de déni de service distribué (DDoS) et le balayage de réseau à la recherche d’hôtes vulnérables. L’exploitation de ces proxys se fait souvent à l’insu des utilisateurs, qui voient leur trafic légitime signalé comme suspect.
NetNut et IPIDEA : l’exploitation via les SDK
Le réseau NetNut, l’un des plus vastes au monde, ainsi que son prédécesseur Ipidea, illustrent l’exploitation massive à travers des kits de développement logiciel (SDK). Ces réseaux distribuent des SDK qui inscrivent subrepticement les appareils des utilisateurs au réseau. Selon le Google Threat Intelligence Group, NetNut compterait plusieurs millions d’appareils à travers le monde, souvent des téléviseurs intelligents ou des boîtiers de streaming, utilisés pour des opérations telles que le balayage de réseau ou le password spraying.
En réponse à cette menace, Google a coordonné une opération avec le FBI et d’autres partenaires. Cette initiative a inclus la désactivation des comptes Google utilisés pour le contrôle de NetNut et le partage de renseignements techniques sur les SDK. Google Play Protect a également été activé pour avertir les utilisateurs et bloquer les applications intégrant ces SDK. Malgré ces efforts, Google a souligné que l’écosystème reste fluide, permettant aux opérateurs d’acheter de la capacité auprès de concurrents.
Une lutte qui s’intensifie
L’intervention contre NetNut, et précédemment contre Ipidea, s’inscrit dans un effort systématique visant à perturber les réseaux de proxys résidentiels. Mi-mars, le réseau SocksEscort a également été ciblé. Ce réseau était alimenté par le malware AVRecon, conçu pour exploiter des vulnérabilités de type RCE et des injections de commande sur des équipements de bordure, notamment des routeurs domestiques. L’opération de neutralisation de SocksEscort a impliqué une coalition d’agences, y compris le FBI, Europol et l’Office Anti-Cybercriminalité (OFAC) français.
