Por separado, el FBI incautó cientos de dominios asociados con NetNut y la infraestructura de la red de bots Popa . El FBI también reemplazó la página de inicio de NetNut con un aviso de incautación
.
En una sola semana de observación, el Grupo de Inteligencia de Amenazas de Google detectó 316 grupos de amenazas distintos enrutando tráfico malicioso a través de la infraestructura proxy de NetNut . Estos incluían:
Google y los investigadores identificaron dos métodos principales de infección:
Google advirtió a los usuarios que eviten aplicaciones que ofrecen pago por el ancho de banda no utilizado o afirman "compartir tu conexión a internet por recompensas", ya que estas son un caballo de Troya común para la inscripción en proxies residenciales . Se aconsejó a los consumidores mantener los dispositivos actualizados, evitar cajas de TV Android baratas y sin marca de proveedores desconocidos, y verificar qué aplicaciones tienen permisos de red.
La red de bots Popa utilizaba malware derivado de la familia Vo1d/Mzmess, que comparte linaje con variantes de la red de bots Mirai dirigidas a dispositivos IoT basados en Android . También se observó que la red de bots Aisuru, una red de bots IoT de clase Mirai/TurboMirai, pasó de ataques DDoS a modelos de proxies residenciales durante este período, lo que destaca un cambio en toda la industria
. La variante OMG Mirai, documentada por primera vez en 2018, también convertía dispositivos IoT en servidores proxy
.
Esta acción se basa directamente en la desarticulación de la red de proxies residenciales IPIDEA por parte de Google el 28 de enero de 2026, una de las redes más grandes de este tipo a nivel mundial en ese momento . En esa operación, Google eliminó dominios y cuentas utilizados por IPIDEA para enrutar tráfico de ciberdelincuentes y atacantes patrocinados por estados
. Google evaluó entonces —y reafirmó en julio— que la industria más amplia de proxies residenciales sigue profundamente conectada a los ecosistemas ciberdelincuentes, con servicios principales como NetNut, LunaProxy, 711Proxy y 922Proxy operando cada uno más de 1 millón de nodos de salida
. La desarticulación de NetNut fue parte de una campaña continua que también incluyó la interrupción de SocksEscort en marzo de 2026
y el desmantelamiento de la red de phishing "Outsider" en junio de 2026
.
Alarum Technologies emitió un comunicado el 2 de julio de 2026, diciendo que "cooperará plenamente con las fuerzas del orden para garantizar que cualquier uso indebido de su infraestructura sea investigado a fondo" .