Lisäksi FBI takavarikoi satoja verkkotunnuksia, jotka liittyivät NetNutiin ja Popa-bottiverkon infrastruktuuriin . FBI myös korvasi NetNutin etusivun takavarikointi-ilmoituksella
.
Yhden tarkkailuviikon aikana Googlen Threat Intelligence Group havaitsi 316 erillistä uhkaryhmää, jotka ohjasivat haitallista liikennettä NetNutin välitysinfrastruktuurin kautta . Näihin kuuluivat:
Google ja tutkijat tunnistivat kaksi ensisijaista tartuntamenetelmää:
Google varoitti käyttäjiä välttämään sovelluksia, jotka tarjoavat maksua käyttämättömästä kaistanleveydestä tai väittävät "jakavansa internet-yhteytesi palkkioita vastaan", koska nämä ovat yleinen troijalainen asuinverkkojen välityspalveluihin liittymiselle . Kuluttajia kehotettiin pitämään laitteet päivitettyinä, välttämään halpoja brändäämättömiä Android TV -bokseja tuntemattomilta myyjiltä ja tarkistamaan, millä sovelluksilla on verkko-oikeuksia.
Popa-bottiverkko käytti haittaohjelmaa, joka on peräisin Vo1d/Mzmess-perheestä, jolla on yhteys Mirai-bottiverkon variantteihin, jotka kohdistuvat Android-pohjaisiin IoT-laitteisiin . Myös Aisuru-bottiverkon, joka on Mirai/TurboMirai-luokan IoT-bottiverkko, havaittiin siirtyvän DDoS-hyökkäyksistä asuinverkkojen välitysmalliin tänä aikana, mikä korostaa laajempaa suuntauksen muutosta alalla
. OMG Mirai -variantti, joka dokumentoitiin ensimmäisen kerran vuonna 2018, muutti IoT-laitteet vastaavasti välityspalvelimiksi
.
Tämä toimenpide on suoraa jatkoa Googlen 28. tammikuuta 2026 toteuttamalle IPIDEA-asuinverkkovälityspalvelun purkamiselle, joka oli tuolloin yksi maailman suurimmista tällaisista verkoista . Siinä operaatiossa Google poisti IPIDEAn käyttämät verkkotunnukset ja tilit, joiden kautta se ohjasi liikennettä kyberrikollisille ja valtiollisten toimijoiden hyökkääjille
. Google arvioi tuolloin – ja vahvisti heinäkuussa – että laajempi asuinverkkojen välityspalveluala on edelleen syvästi kytköksissä kyberrikollisiin ekosysteemeihin, ja huippupalveluilla, kuten NetNut, LunaProxy, 711Proxy ja 922Proxy, on kullakin yli miljoona poistumissolmua
. NetNutin kaato oli osa jatkuvaa kampanjaa, johon kuuluivat myös maaliskuussa 2026 toteutettu SocksEscortin purkaminen
ja kesäkuussa 2026 toteutettu "Outsider"-tietojenkalasteluverkon alasajo
.
Alarum Technologies antoi 2. heinäkuuta 2026 lausunnon, jonka mukaan se "tekee täysimääräistä yhteistyötä lainvalvontaviranomaisten kanssa varmistaakseen, että kaikki sen infrastruktuurin väärinkäytöt tutkitaan perusteellisesti" .