Кроме того, ФБР изъяло сотни доменов, связанных с инфраструктурой NetNut и ботнета Popa . На главной странице NetNut появилась уведомительная надпись об аресте
.
За одну неделю наблюдения Google Threat Intelligence Group выявила 316 различных кластеров угроз, маршрутизировавших вредоносный трафик через инфраструктуру NetNut . Среди них были:
Google и исследователи выявили два основных способа заражения:
Google предупредил пользователей избегать приложений, которые предлагают плату за неиспользуемый трафик или заявляют о возможности «делиться интернет-соединением за вознаграждение», так как это обычный способ внедрения резидентных прокси . Потребителям рекомендовано обновлять устройства, избегать дешёвых небрендовых Android TV-боксов от неизвестных продавцов и проверять, какие приложения имеют разрешения на работу с сетью.
Ботнет Popa использовал вредоносное ПО, производное от семейства Vo1d/Mzmess, которое имеет общее происхождение с вариантами ботнета Mirai, нацеленными на Android-устройства Интернета вещей . В этот же период также наблюдался переход ботнета Aisuru (класса Mirai/TurboMirai) от DDoS-атак к модели резидентных прокси, что подчёркивает общеотраслевой сдвиг
. Вариант OMG Mirai, впервые задокументированный в 2018 году, также превращал устройства IoT в прокси-серверы
.
Эта акция является прямым продолжением проведённого 28 января 2026 года вмешательства Google в работу сети резидентных прокси IPIDEA, которая на тот момент была одной из крупнейших в мире . В той операции Google ликвидировал домены и учётные записи, используемые IPIDEA для маршрутизации трафика киберпреступников и спонсируемых государствами злоумышленников
. Ещё тогда Google оценил — и подтвердил в июле — что в целом индустрия резидентных прокси остаётся глубоко связана с киберпреступной экосистемой, а такие крупные сервисы, как NetNut, LunaProxy, 711Proxy и 922Proxy, эксплуатируют более 1 миллиона выходных узлов каждый
. Ликвидация NetNut стала частью продолжающейся кампании, которая также включала нарушение работы SocksEscort в марте 2026 года
и ликвидацию фишинговой сети «Outsider» в июне 2026 года
.
Компания Alarum Technologies выступила с заявлением 2 июля 2026 года, пообещав «полностью сотрудничать с правоохранительными органами, чтобы любое неправомерное использование её инфраструктуры было тщательно расследовано» .