Oddzielnie FBI przejęło setki domen powiązanych z infrastrukturą NetNut i botnetu Popa . FBI zastąpiło także stronę główną NetNut informacją o zajęciu
.
W ciągu jednego tygodnia obserwacji Google Threat Intelligence Group wykryło 316 odrębnych grup przestępczych kierujących złośliwy ruch przez infrastrukturę proxy NetNut . Obejmowały one:
Google i badacze zidentyfikowali dwie główne metody infekcji:
Google ostrzegło użytkowników przed aplikacjami oferującymi zapłatę za niewykorzystane pasmo lub twierdzącymi, że „dzielisz swoje łącze internetowe w zamian za nagrody”, ponieważ jest to powszechny sposób na wciągnięcie urządzenia do rezydencyjnej sieci proxy . Konsumentom zalecono aktualizowanie urządzeń, unikanie tanich, nienazwanych dekoderów z Androidem od nieznanych sprzedawców oraz sprawdzanie, które aplikacje mają uprawnienia sieciowe.
Botnet Popa używał złośliwego oprogramowania wywodzącego się z rodziny Vo1d/Mzmess, która ma wspólne korzenie z wariantami botnetu Mirai atakującymi urządzenia IoT oparte na Androidzie . Zaobserwowano również, że botnet Aisuru (klasy Mirai/TurboMirai) w tym okresie przestawił się z ataków DDoS na model rezydencyjnych proxy, co podkreśla trend w całej branży
. Wariant OMG Mirai, udokumentowany po raz pierwszy w 2018 roku, również przekształcał urządzenia IoT w serwery proxy
.
To działanie opiera się bezpośrednio na zakłóceniu sieci rezydencyjnych proxy IPIDEA przez Google 28 stycznia 2026 roku – jednej z największych takich sieci na świecie w tamtym czasie . W ramach tej operacji Google wyeliminowało domeny i konta wykorzystywane przez IPIDEA do kierowania ruchem dla cyberprzestępców i sponsorowanych przez państwa atakujących
. Google oceniło wtedy – i potwierdziło w lipcu – że szersza branża rezydencyjnych proxy pozostaje głęboko powiązana z ekosystemami cyberprzestępczymi, a najlepsze usługi, takie jak NetNut, LunaProxy, 711Proxy i 922Proxy, dysponują każda ponad 1 milionem węzłów wyjściowych
. Przejęcie NetNut było częścią ciągłej kampanii, która obejmowała również zakłócenie działania SocksEscort w marcu 2026
oraz likwidację sieci phishingowej „Outsider” w czerwcu 2026
.
Firma Alarum Technologies wydała 2 lipca 2026 roku oświadczenie, w którym zobowiązała się do „pełnej współpracy z organami ścigania w celu dokładnego zbadania wszelkiego niewłaściwego wykorzystania jej infrastruktury” .