Parallel dazu beschlagnahmte das FBI hunderte Domains, die mit NetNut und der Popa-Botnet-Infrastruktur in Verbindung standen . Die NetNut-Startseite wurde durch eine Beschlagnahmungsmitteilung ersetzt
.
In einer einzigen Beobachtungswoche entdeckte Googles Threat Intelligence Group 316 verschiedene Bedrohungscluster, die ihren schädlichen Datenverkehr über die NetNut-Proxy-Infrastruktur leiteten . Dazu gehörten:
Google und Forscher identifizierten zwei primäre Infektionsmethoden:
Google warnte Nutzer davor, Apps zu installieren, die eine Bezahlung für ungenutzte Bandbreite anbieten oder damit werben, „die Internetverbindung für Belohnungen zu teilen“. Dies sei ein typischer Trojaner für die Rekrutierung von Residential-Proxies . Verbrauchern wurde geraten, ihre Geräte auf dem neuesten Stand zu halten, keine billigen, markenlosen Android-TV-Boxen von unbekannten Händlern zu kaufen und zu überprüfen, welche Apps Netzwerkberechtigungen besitzen.
Das Popa-Botnet verwendete Malware aus der Vo1d/Mzmess-Familie, die mit Mirai-Botnet-Varianten verwandt ist, die auf Android-basierte IoT-Geräte abzielen . Auch das Aisuru-Botnet, ein Mirai/TurboMirai-Klasse-IoT-Botnet, wurde in diesem Zeitraum dabei beobachtet, wie es von DDoS-Angriffen zu Residential-Proxy-Modellen wechselte, was einen branchenweiten Wandel verdeutlicht
. Die OMG-Mirai-Variante, die erstmals 2018 dokumentiert wurde, wandelte IoT-Geräte ebenfalls in Proxy-Server um
.
Diese Aktion baut direkt auf Googles Störung des IPIDEA-Residential-Proxy-Netzwerks vom 28. Januar 2026 auf, einem der damals weltweit größten derartigen Netzwerke . Bei dieser Operation eliminierte Google Domains und Konten, die IPIDEA zur Weiterleitung von Datenverkehr für Cyberkriminelle und staatlich unterstützte Angreifer nutzte
. Google stellte damals – und bekräftigte dies im Juli – fest, dass die gesamte Residential-Proxy-Branche weiterhin tief mit dem Cyberkriminalitäts-Ökosystem verbunden ist, wobei Top-Dienste wie NetNut, LunaProxy, 711Proxy und 922Proxy jeweils über 1 Million Exit-Knoten betreiben
. Die NetNut-Zerschlagung ist Teil einer fortlaufenden Kampagne, die auch die Störung von SocksEscort im März 2026
und die Zerschlagung des „Outsider“-Phishing-Netzwerks im Juni 2026 umfasst
.
Alarum Technologies gab am 2. Juli 2026 eine Erklärung heraus, in der es hieß, man werde „vollständig mit den Strafverfolgungsbehörden zusammenarbeiten, um sicherzustellen, dass jeder Missbrauch seiner Infrastruktur gründlich untersucht wird“ .