Alternativa ao NetNut Após a Apreensão do FBI: Um Fornecimento de Proxy à Prova de Apreensão (2026)

Base de Conhecimentos
Evgeny Fomenko

Resumo essencial: O FBI apreendeu o NetNut em 2 de julho de 2026 porque seu fornecimento “residencial” era a botnet Popa, de cerca de dois milhões de dispositivos de consumidores infectados, o mesmo modelo de origem via SDK de consumidor que o Google desmontou na IPIDEA em janeiro. Trocá-lo por outro pool residencial obtido da mesma forma mantém o risco de apreensão e só muda o logotipo. A alternativa ao NetNut duradoura é outro modelo: proxies móveis extraídos de dispositivos reais e com consentimento, com cada requisição registrada e atribuível, de modo que não existe botnet de terceiros para uma operação apreender.

Em 2 de julho de 2026, o FBI derrubou um dos provedores de proxy residencial mais conhecidos do mercado. Se você roteava tráfego pelo NetNut, a lição útil não é “procurar outra rede residencial”, e sim entender por que essa era passível de apreensão desde o início e escolher um substituto que, por estrutura, não seja.

O que aconteceu com o NetNut (2 de julho de 2026)

Em 2 de julho de 2026, o FBI, em conjunto com o Threat Intelligence Group do Google e a IRS Criminal Investigation e com apoio técnico do Black Lotus Labs da Lumen e da Shadowserver Foundation, desarticulou o NetNut e apreendeu centenas dos domínios por trás dele (KrebsOnSecurity , BleepingComputer , SecurityWeek ). O NetNut era uma rede de proxy residencial, e os endereços que revendia rodavam na botnet Popa: cerca de dois milhões de dispositivos infectados.

Não foi uma instabilidade de faturamento nem um DDoS temporário. O Google desativou as contas de comando e controle que operavam a rede e lançou uma atualização do Google Play Protect que desativa apps com o SDK do NetNut em dispositivos Android (Infosecurity Magazine ). A infraestrutura de saída que os clientes pagavam foi desmontada na origem, não apenas limitada em um painel de controle.

Por que foi derrubado

Os dois milhões de dispositivos da botnet Popa não eram servidores em um data center. Eram smart TVs, aparelhos de streaming e celulares Android de pessoas comuns, cadastrados por meio de kits de desenvolvimento de software (SDKs) embutidos em apps com pouco ou nenhum consentimento real dos donos dos aparelhos (The Hacker News , Malwarebytes ). O “IP residencial” que um cliente do NetNut alugava era, em boa parte dos casos, a conexão de internet doméstica de alguém que nunca concordou em vendê-la.

Um fornecimento obtido dessa forma atrai exatamente o tráfego que se imagina. Em uma única semana de junho de 2026, o Google contabilizou 316 clusters de ameaça distintos passando pelos nós de saída do NetNut, com password spraying, scraping de conteúdo, fraude de anúncios e sequestro de contas entre os usos documentados (SecurityWeek ). Do ponto de vista das autoridades, um pool de proxies montado a partir de dispositivos de consumidores sem o conhecimento deles é uma botnet, e é tratado como tal.

O que isso significa se você era cliente do NetNut

O serviço foi interrompido. A Alarum Technologies (NASDAQ: ALAR), controladora do NetNut, suspendeu o tráfego e alertou, em comunicado público, para um efeito adverso relevante sobre suas operações, seus resultados financeiros e sua capacidade de atender clientes; as ações caíram com a notícia (comunicado da Alarum , Calcalist ). Ninguém anunciou um encerramento permanente, mas o serviço do qual a sua operação dependia parou, sem aviso.

Então você precisa de um substituto. A armadilha é tratar isso como uma compra de igual por igual: escolher a próxima rede residencial , trocar as credenciais e seguir em frente. A pergunta mais importante é se o substituto que você escolher traz embutido o mesmo modo de falha.

Ficou na mão com a queda do NetNut?
Se a sua operação perdeu o fornecimento de proxy da noite para o dia, a solução mais rápida é uma conversa curta, não outro formulário de cadastro. Conte o que você rodava no NetNut e desenhamos um substituto móvel sobre um fornecimento que não pode ser apreendido. Escreva para [email protected] agora!
Fale com a gente no Telegram

Isto é uma falha da cadeia de suprimentos, não azar

É tentador ler a queda como um problema exclusivo do NetNut: um operador que cortou caminho e acabou pego. Essa leitura é reconfortante e equivocada. A vulnerabilidade está no modelo, não na marca.

Quando uma rede de proxy obtém IPs “residenciais” de dispositivos de consumidores cadastrados por SDKs embutidos, todo o seu fornecimento é hardware de outras pessoas, agregado em escala sem a participação informada dos donos. Esse fornecimento tem duas propriedades que importam para você como comprador. Ele atrai abuso, o que traz escrutínio. E pode ser desmontado em uma única ação coordenada (apreensão de domínios, derrubada de comando e controle (C2) e um expurgo de apps em nível de plataforma), justamente porque existe uma botnet física para desmontar.

Isso já aconteceu duas vezes em 2026. O NetNut é a segunda grande rede residencial a cair neste ano. Em 28 de janeiro, o Google desarticulou a IPIDEA, uma das maiores operações de proxy residencial do mundo: 13 marcas associadas, entre elas 360Proxy, 922Proxy, ABC Proxy, IP2World, LunaProxy e PIA S5, distribuídas por cerca de nove milhões de dispositivos, com mais de 550 grupos de ameaça observados usando a rede em uma única semana, todas sob o mesmo modelo de origem via SDK de consumidor (Google Cloud Threat Intelligence , The Hacker News ).

Linha do tempo de duas quedas de proxy residencial em 2026: o Google desarticulando a IPIDEA em 28 de janeiro e o FBI apreendendo o NetNut em 2 de julho, ambas com origem em dispositivos de consumidores via SDK.

Duas quedas, com cerca de seis meses de intervalo, mesma causa-raiz. Se o seu próximo provedor obtém os endereços da mesma maneira, uma rede de “SDK” ou de “consentimento” apoiada em dispositivos que não são dele, você não eliminou o risco. Você o recomprou sob outro logotipo, e a contagem regressiva para a próxima queda já está correndo onde você não consegue ver.

O que realmente observar em um substituto

Os critérios de seleção que importam em uma alternativa ao NetNut são os que sobrevivem a uma ação das autoridades, não os de uma página de comparação de recursos. Cinco perguntas separam um fornecimento duradouro de uma queda apenas adiada.

  1. Procedência. De onde os IPs vêm fisicamente, e quem é dono e opera os dispositivos em que rodam? “Residencial” descreve o endereço, não o dispositivo nem o consentimento por trás dele.
  2. Exposição à apreensão. Todo o fornecimento pode ser desarticulado por um único mandado, uma única derrubada de C2 ou um único expurgo de apps por uma plataforma? Se a resposta for sim, a disponibilidade vira questão de quando, não de se.
  3. Rastreabilidade. Cada requisição é registrada e atribuível: qual cliente, qual porta, em que horário, para qual destino? Um provedor que responde a isso com precisão não precisa desaparecer para se proteger. A iProxy.online já escreveu abertamente sobre por que mantemos logs e não fingimos o contrário ; os campos registrados são exatamente esses.
  4. Detectabilidade. Como o endereço se apresenta ao alvo: como uma linha de provedor doméstico que pode entrar em uma lista de bloqueio sem dano colateral, ou como um IP de operadora móvel de alta confiança que não pode?
  5. Durabilidade jurídica. O modelo foi construído para resistir ao escrutínio ou para ficar um passo à frente dele até o dia em que não fica mais? A segurança jurídica é um requisito de projeto de primeira ordem para um fornecimento feito para durar.

Nenhuma dessas perguntas é respondida pela palavra “ético” impressa em uma landing page. Todas elas são respondidas pelo modelo de origem que está por baixo.

Proxy residencial vs proxy móvel: por que o modelo é a diferença

Proxies residenciais e móveis costumam ser colocados lado a lado como as duas alternativas de “IP real” aos proxies de datacenter. Para o risco específico que acabou de derrubar o NetNut, eles não são a mesma classe de coisa.

De onde vêm os IPs

Um proxy residencial passa por endereços IP atribuídos a dispositivos de consumidores em conexões de internet doméstica; nas redes que acabaram de cair, esses dispositivos foram cadastrados por SDKs que os donos nunca aceitaram de forma consciente. Um proxy móvel pela iProxy.online passa por um celular Android real com um chip real, operado com pleno conhecimento e consentimento de quem o controla: o seu próprio aparelho ou uma frota dedicada mantida sob contrato. O endereço vem do próprio pool da operadora móvel; o dispositivo é um ponto de saída conhecido e com consentimento, não a televisão de um estranho recrutada silenciosamente por um app.

Diagrama comparando dois modelos de fornecimento de proxy: um pool residencial formado por dispositivos de consumidores cadastrados via SDK que vira uma botnet apreensível, contra um fornecimento móvel de dispositivos reais e com consentimento, sem nada para uma operação apreender.

Essa única diferença de procedência é o argumento inteiro. Tudo o que vem depois (resistência a bloqueio, rastreabilidade, exposição à apreensão) decorre de quem é dono do hardware de onde o tráfego de fato sai.

Por que o móvel é mais difícil de bloquear

Um IP de operadora móvel não é a linha fixa de uma única residência. É um endereço de nível de operadora, tirado de um pool que a operadora reveza entre a sua base de assinantes, em um sistema autônomo (ASN) que os sistemas antifraude reconhecem como de operadora móvel. Bloqueie esse endereço ou a faixa dele e você corre o risco de bloquear os assinantes reais que passam a usá-lo em seguida. Por isso os sistemas de detecção tratam os ASNs de operadora móvel como a classe de IP de maior confiança e demoram a bani-los de forma direta, o oposto de um endereço de datacenter, que uma consulta de ASN denuncia de imediato, ou de uma única linha de provedor doméstico, que pode entrar em uma lista de bloqueio com quase nenhum dano colateral. É a mesma propriedade prática que o setor inteiro persegue, alcançada pela procedência e não pelo tamanho do pool: um endereço que um site de destino reluta em bloquear.

Por que isso elimina o risco de apreensão

Aqui está a parte que mudou no dia 2 de julho. Se o seu fornecimento são dispositivos reais operados com consentimento, não há botnet ali dentro: nada montado a partir de hardware infectado para uma operação coordenada apreender e nada para o Play Protect desativar. A falha que encerrou o NetNut e a IPIDEA depende, antes de tudo, da existência de uma rede oculta de dispositivos. Tire isso do modelo e a falha vai junto. O seu fornecimento não evapora porque alguém desmontou uma botnet da qual ele dependia em silêncio, porque não existe essa botnet para desmontar.

iProxy vs uma alternativa residencial típica

Critério Proxy residencial típico iProxy (móvel)
De onde vêm os IPs Dispositivos de consumidores cadastrados via SDK ou redes de “consentimento” Dispositivos Android reais com chips reais, operados com consentimento: o seu próprio ou uma frota gerenciada
Exposição à apreensão Todo o pool pode ser desarticulado se o fornecimento via botnet/SDK for derrubado Não há botnet de dispositivos de terceiros para apreender
Resistência a bloqueio Endereços de provedor doméstico, mais fáceis de identificar por fingerprint e bloquear em escala IPs de operadora móvel em ASNs de operadora de alta confiança: caros de bloquear sem atingir assinantes reais
Rastreabilidade Varia, muitas vezes opaca Cada requisição registrada e atribuível: cliente, porta, horário, destino
Migração Mudança de configuração (host, porta, credenciais) Configuração guiada para o seu caso: outro modelo, não uma troca equivalente

A comparação não é sobre quem tem mais IPs ou um número de disponibilidade melhor, dados que não vamos inventar para ganhar uma tabela. É sobre qual modelo continua existindo depois de uma semana ruim. Um pool residencial obtido de SDKs em dispositivos de consumidores está a uma ação das autoridades de distância do desfecho do NetNut. Um fornecimento móvel construído sobre dispositivos controláveis e com consentimento não tem nada para essa ação apreender.

Dimensionando um substituto do NetNut para volume real?
Pule o funil de autoatendimento. Diga seus alvos, suas geografias e seu volume de requisições, e mapeamos uma configuração móvel dedicada para eles, montada sobre dispositivos reais e com consentimento, não sobre um pool apreensível. Comece em [email protected] .
Falar com o CEO

Como sair do NetNut

Primeiro, a verdade, porque as ofertas concorrentes que caem na sua caixa de entrada são discretamente desonestas quanto a isso. Trocar um provedor puramente residencial por outro é uma troca de credenciais: muda o host, a porta e o usuário, e pronto. Migrar para a iProxy não é isso, e fingir o contrário seria vender o mesmo risco com um texto mais bonito.

O móvel é uma classe de fornecimento diferente. Você não aluga uma fatia de um pool opaco; você opera endpoints móveis dedicados em dispositivos reais. A configuração é um processo curto e deliberado, não um localizar-e-substituir em um arquivo de configuração, e é isso que importa. Você está mudando o seu modelo de risco, não o seu logotipo.

Na prática, é assim: uma conversa curta sobre o seu caso de uso real (volume, geografias-alvo e as plataformas contra as quais você trabalha, seja coleta de dados em larga escala ou operações de contas), então mapeamos uma configuração para ele e liberamos o seu acesso. Não existe funil de autoatendimento para espremer uma operação empresarial, e isso é proposital. Se o seu tráfego é importante a ponto de uma queda sem aviso ser um problema real, ele é importante o bastante para uma configuração de verdade.

A forma mais rápida de dimensionar a mudança é nos contar o que você rodava no NetNut. Escreva para [email protected] ou mande mensagem para o CEO no Telegram , e dimensionamos um substituto para o seu volume.

Pronto para mudar o modelo de risco, não só o logotipo?
Sair do NetNut é uma configuração curta e guiada, não uma troca de credenciais, porque você está indo para uma classe de fornecimento diferente. Mande o que você rodava e dimensionamos o substituto. Escreva para [email protected] hoje mesmo!
Planejar sua migração

Migre para um fornecimento que você não pode perder

O NetNut não falhou por descuido. Falhou porque seu fornecimento era uma botnet, e botnets são apreendidas. A alternativa ao NetNut mais segura não é uma versão com marketing melhor do mesmo modelo. É um fornecimento sem nada a apreender: proxies móveis em dispositivos reais e com consentimento, com cada requisição registrada e atribuível.

Se é esse tipo de durabilidade que a sua operação precisa, vamos conversar no seu tempo, não no de uma agência de fiscalização. Escreva para [email protected] ou fale com o CEO no Telegram para discutir um fornecimento que não pode ser apreendido.

Perguntas frequentes

O NetNut foi encerrado de vez?
O FBI apreendeu centenas de domínios do NetNut em 2 de julho de 2026, e a controladora Alarum Technologies suspendeu o tráfego, alertando para um efeito adverso relevante sobre os negócios. Nenhum encerramento permanente foi anunciado oficialmente, mas o atendimento foi interrompido sem aviso. Se você rodava tráfego de produção por ele, trate como fora do ar e planeje a migração.
Ainda é seguro continuar usando o NetNut?
Seu fornecimento estava ligado à botnet Popa, de cerca de dois milhões de dispositivos infectados, e o Google lançou uma atualização do Play Protect para desativar apps que carregavam seu SDK. Além do problema de confiabilidade, não é um fornecimento ao qual você queira associar seu tráfego. O caminho mais seguro é um substituto baseado em outro modelo de origem, não em mais uma rede de dispositivos de consumidores.
Qual é a alternativa ao NetNut mais segura?
Não é outro pool residencial obtido da mesma forma, porque ele carrega o mesmo risco de apreensão. A opção duradoura é um modelo de proxy móvel cujos IPs vêm de dispositivos reais e com consentimento, de modo que não existe botnet de terceiros para apreender. Para dimensionar um para a sua operação, escreva para [email protected] ou mande mensagem para @iproxy_online_support no Telegram.
Meu tráfego ou meus dados foram comprometidos na apreensão do NetNut?
Essa pergunta é para o NetNut e a Alarum, e você deve dirigi-la diretamente a eles. O que o episódio mostra é por que um provedor rastreável importa: com registro claro de qual cliente fez qual requisição, quando e para qual destino, perguntas assim têm resposta. Um fornecimento opaco deixa você sem como provar nada em qualquer direção.
Preciso mudar meu código para migrar para a iProxy?
Não é uma simples troca de host e porta, porque o proxy móvel é uma classe de fornecimento diferente de um pool residencial. Na prática, é uma configuração rápida ajustada ao seu caso de uso, não um localizar-e-substituir em um arquivo de configuração. Conte seu volume e seus alvos, e desenhamos a configuração junto com você.
Proxy residencial vs proxy móvel: qual a diferença na prática para mim?
Proxies residenciais passam por dispositivos domésticos de consumidores, muitas vezes cadastrados via SDK; proxies móveis passam por celulares reais em redes de operadoras. As diferenças práticas são procedência, resistência a bloqueio e risco de fornecimento. IPs de operadora móvel ficam em ASNs de operadora de alta confiança, e o fornecimento não é uma botnet apreensível.
Por que o NetNut foi derrubado?
Seus IPs residenciais rodavam na botnet Popa: cerca de dois milhões de smart TVs, aparelhos de streaming e dispositivos Android cadastrados via SDK com pouco ou nenhum consentimento. Centenas de clusters de ameaça usavam esse pool para abusos como password spraying e fraude de anúncios, o que motivou uma ação coordenada do FBI e do Google. A operação apreendeu domínios, desativou contas de comando e controle e desativou os apps com o SDK.
As autoridades podem apreender meu provedor de proxy e cortar meu serviço?
Sim, se o fornecimento do provedor for uma botnet de dispositivos de terceiros infectados, como mostraram as quedas do NetNut e da IPIDEA em 2026. Com um modelo móvel baseado em dispositivos reais e com consentimento, não há botnet para apreender, então esse modo de falha específico não se aplica. Esse é o motivo central para escolher o fornecimento pelo modelo de origem, não pelo marketing.