観測期間中のたった1週間で、Google脅威インテリジェンスグループはNetNutプロキシインフラを経由して悪意あるトラフィックを送っていた316もの異なる脅威クラスターを検出。これらには以下が含まれます:
Googleと研究者らは、主に2つの感染経路を特定しました:
Googleは、「未使用の帯域幅を共有してお金を稼ぐ」と謳うアプリや「報酬と引き換えにインターネット接続を共有」するアプリを避けるよう警告。これらはレジデンシャルプロキシ勧誘のよくあるトロイの木馬だからです。消費者は、デバイスを常に最新の状態に保ち、聞いたことのないベンダーからの安価な無ブランドAndroid TVボックスを避け、ネットワーク権限を持つアプリを確認するようアドバイスされています。
Popaボットネットは、AndroidベースのIoTデバイスを標的とするMiraiボットネット亜種と共通の系統を持つVo1d/Mzmessファミリーに由来するマルウェアを使用していました。Mirai/TurboMiraiクラスのIoTボットネットであるAisuruボットネットも、この期間中にDDoS攻撃からレジデンシャルプロキシモデルへと移行しているのが観測されており、業界全体のシフトを浮き彫りにしています
。2018年に初めて記録されたOMG Mirai亜種も、同様にIoTデバイスをプロキシサーバーに変えていました
。
今回の行動は、Googleが2026年1月28日に行ったIPIDEAレジデンシャルプロキシネットワークの妨害作戦に直接続くものです。IPIDEAは当時、世界最大級のレジデンシャルプロキシネットワークでした。その作戦で、GoogleはIPIDEAがサイバー犯罪者や国家支援攻撃者のトラフィックをルーティングするために使用していたドメインやアカウントを排除しました
。Googleは当時から、そして7月にも再確認したことですが、より広範なレジデンシャルプロキシ業界は依然としてサイバー犯罪エコシステムと深く結びついており、NetNut、LunaProxy、711Proxy、922Proxyといったトップサービスのそれぞれが100万以上の終端ノードを運用しています
。NetNutの解体は、2026年3月のSocksEscort妨害
や2026年6月の「Outsider」フィッシングネットワーク解体
も含む継続的なキャンペーンの一部です。