במקביל, ה-FBI תפס מאות דומיינים הקשורים ל-NetNut ולתשתית בוטנט Popa . ה-FBI גם החליף את דף הבית של NetNut בהודעת תפיסה
.
בשבוע אחד של תצפית, קבוצת מודיעין האיומים של גוגל זיהתה 316 אשכולות איומים מובחנים שהעבירו תעבורה זדונית דרך תשתיות הפרוקסי של NetNut . אלה כללו:
גוגל וחוקרים זיהו שתי שיטות הדבקה עיקריות:
גוגל הזהירה משתמשים להימנע מאפליקציות שמציעות תשלום תמורת רוחב פס שאינו מנוצל או טוענות כי "שתפו את חיבור האינטרנט שלכם תמורת פרסים", שכן אלו הן סוסים טרויאניים נפוצים לגיוס לפרוקסי ביתי . לצרכנים הומלץ לעדכן מכשירים, להימנע מממירי אנדרואיד זולים ללא מותג מספקים לא ידועים, ולבדוק לאילו אפליקציות יש הרשאות רשת.
בוטנט Popa השתמש בתוכנה זדונית שמקורה במשפחת Vo1d/Mzmess, שחולקת שושלת עם וריאנטים של בוטנט Mirai המכוונים למכשירי IoT מבוססי אנדרואיד . בוטנט Aisuru, בוטנט IoT מסוג Mirai/TurboMirai, נצפה גם הוא עובר מהתקפות DDoS למודלים של פרוקסי ביתי בתקופה זו, מה שמדגיש שינוי בתעשייה
. וריאנט OMG Mirai, שתועד לראשונה ב-2018, הפך באופן דומה מכשירי IoT לשרתי פרוקסי
.
פעולה זו מתבססת ישירות על שיבוש רשת הפרוקסי הביתית IPIDEA על ידי גוגל ב-28 בינואר 2026, אחת הרשתות הגדולות בעולם באותה עת . במבצע ההוא, גוגל חיסלה דומיינים וחשבונות ששימשו את IPIDEA להעברת תעבורה עבור פושעי סייבר ותוקפים בחסות מדינה
. גוגל העריכה אז – ואישרה מחדש ביולי – שתעשיית הפרוקסי הביתית הרחבה יותר נותרה קשורה עמוקות למערכות אקולוגיות פליליות, כאשר שירותים מובילים כמו NetNut, LunaProxy, 711Proxy ו-922Proxy מפעילים כל אחד מעל מיליון צמתי יציאה
. תפיסת NetNut הייתה חלק ממערכה מתמשכת שכללה גם את שיבוש SocksEscort במרץ 2026
ואת תפיסת רשת הפישינג "Outsider" ביוני 2026
.
Alarum Technologies פרסמה הצהרה ב-2 ביולי 2026, ואמרה כי "תשתף פעולה באופן מלא עם רשויות אכיפת החוק כדי להבטיח כי כל שימוש לרעה בתשתיותיה ייחקר ביסודיות" .