Google 與研究人員確定了兩種主要的感染方式:
Google 警告用戶,應避免使用那些為未使用頻寬提供報酬或聲稱「分享網路連線以換取獎勵」的應用程式,因為這些是住宅代理註冊的常見幌子。建議消費者保持裝置更新、避免從不明供應商購買廉價的白牌 Android TV 盒子,並檢查哪些應用程式擁有網路權限。
Popa 傀儡網路使用的惡意軟體源自 Vo1d/Mzmess 家族,該家族與針對 Android 物聯網裝置的 Mirai 傀儡網路變種 系出同源。在此期間,也觀察到 Aisuru 傀儡網路(一個 Mirai/TurboMirai 級別的物聯網傀儡網路)從 DDoS 攻擊轉向住宅代理模式,凸顯了整個產業的轉變
。最早於 2018 年被記錄的 OMG Mirai 變種,同樣將物聯網裝置轉變為代理伺服器
。
此次行動直接建基於 Google 在 2026 年 1 月 28 日對 IPIDEA 住宅代理網路的打擊,該網路是當時全球最大的住宅代理網路之一。在那次行動中,Google 清除了 IPIDEA 用來為網路犯罪分子和國家支持的攻擊者路由流量的網域和帳號。Google 當時評估——並在 7 月重申——更廣泛的住宅代理產業與網路犯罪生態系統仍然深度連結,頂級服務如 NetNut、LunaProxy、711Proxy 和 922Proxy 各自運作超過 100 萬個出口節點
。NetNut 的打擊行動是一場持續行動的一部分,該行動還包括 2026 年 3 月對 SocksEscort 的干擾
,以及 2026 年 6 月對「Outsider」網路釣魚網路的查禁
。