Den ersten Hinweis auf die Herkunft von Popa lieferte laut Quelltext ein Bericht des chinesischen Sicherheitsunternehmens XLAB aus dem Jahr 2025. Darin wurden mindestens neun Domains genannt, die zur Registrierung und Steuerung kompromittierter Geräte dienten. Qurium erklärte nun, bei Untersuchungen zu kostspieligen und störenden Scraping-Vorfällen gegen gehostete Organisationen im Mai 2026 auf einige derselben Domains gestoßen zu sein. Die Scraping-Aktivität sei dabei gleichmäßig über mehr als 1,4 Millionen Internetadressen verteilt gewesen.
Qurium identifizierte mehrere Dutzend Kontroll-Domains von Popa, die über längere Zeit synchron über verschiedene Internetadressen gehostet wurden, darunter gmslb[.]net, safernetwork[.]io, tera-home[.]com und ninjatech[.]io. Besonders auffällig sei gmslb[.]net gewesen: Die Domain fand sich laut Qurium in Dutzenden raubkopierter oder modifizierter Streaming-Apps wie CRICFy, DooFlix, Sprozfy, RTS Tv, Flixoid, CyberFlix, Rapid Streamz, TvMob und HD/OceanStreams. Nachdem Google, HUMAN Security und Trend Micro Badbox 2.0 im Juli 2025 gestört hatten, seien viele der zuvor genutzten Popa-Domains beschlagnahmt oder abgeschaltet worden. Unmittelbar danach seien zahlreiche neue Kontroll-Domains registriert worden, darunter erneut ninjatech[.]io.
Ninjatech wurde von Moishi Kramer gegründet. Dessen LinkedIn-Profil nennt ihn als Vice President of Research and Development bei NetNut. Kramer schrieb per E-Mail, Ninjatech habe den Betrieb vor rund fünf Jahren eingestellt, als das Unternehmen ein Software Development Kit namens Popa verkauft habe. Dieses sei dafür gedacht gewesen, nur einen kleinen Teil der Bandbreite eines Geräts zu nutzen und erst zu laufen, nachdem die Host-Anwendung die Zustimmung des Nutzers eingeholt habe. Der Code sei vor Jahren an Dritte einschließlich Wiederverkäufer verkauft und lizenziert worden. Werde Software auf diese Weise verteilt, habe der ursprüngliche Entwickler keine Kontrolle mehr darüber, wie andere sie später veränderten, umbenannten oder einsetzten.
Kramer erklärte weiter, weder er noch NetNut bauten, betrieben oder warteten die Infrastruktur, die als Popa beschrieben werde; auch kontrolliere er die Domain Ninjatech nicht. Die im Juni 2025 registrierten Domains habe er nicht angemeldet und wisse auch nicht, wer das getan habe.
Dem widerspricht ein separater Forschungsbericht von Synthient. Das Unternehmen erklärte, eine aktuelle Analyse des Popa-SDK habe ausgehenden Datenverkehr gezeigt, der klar mit NetNut verbunden sei. Das Forschungsteam bewerte mit hoher Sicherheit, dass Geräte mit Popa Datenverkehr von NetNut-Kunden weiterleiteten. Damit sei zweifelsfrei belegt, dass Popa weiterhin aktiv von NetNut als Teil seines Proxy-Pools genutzt werde.
Alarum Technologies, die in Tel Aviv ansässige Muttergesellschaft von NetNut, wies die Berichte von Synthient und Qurium zurück. Die Darstellungen enthielten „nachweislich unzutreffende Behauptungen und fehlerhafte Schlussfolgerungen statt verifizierter Fakten“. Die betroffenen SDKs seien für Bandbreitenfreigabe konzipiert und verwandelten Geräte weder in von Schadsoftware gesteuerte Systeme noch kompromittierten sie diese anderweitig. NetNut betreibe ein kommerzielles Proxy-Netzwerk und unterhalte Richtlinien, Verfahren und technische Maßnahmen für eine rechtmäßige und verantwortungsvolle Nutzung. Dazu zählten nach Unternehmensangaben Hinweise und Zustimmungsmechanismen, Kundensorgfalt, Missbrauchsüberwachung sowie Maßnahmen zur Erkennung und Eindämmung verdächtiger oder unbefugter Aktivitäten.
Spur stellte diese Darstellung in einem Bericht vom 8. Juni infrage. Der Proxy-Tracking-Dienst erklärte, NetNut verlange vor dem Kauf von Proxy-Zugang weder eine Unternehmensverifikation noch eine aussagekräftige „Kenne-deinen-Kunden“-Prüfung. Laut Spur könne eine Einzelperson sich anmelden, bezahlen und Verkehr durch Partner-Adressräume leiten, auch durch Adressräume von Institutionen, deren Nutzer nie eingewilligt hätten. Zudem sei NetNut nicht das einzige Einfallstor: Zahlreiche White-Label-Anbieter und Wiederverkäufer verpackten denselben ISP-Proxy-Pool unter eigener Marke neu. Diese Anbieter führten laut Spur typischerweise gar keine KYC-Prüfung durch.
Synthient fand außerdem, dass neuere Popa-Builds von vor drei Monaten zwar die Möglichkeit hinzugefügt haben, Nutzer vor der Installation von Proxy-Komponenten um Zustimmung zu bitten. Diese Funktion sei aber nicht in allen Varianten oder älteren Versionen enthalten. Von mehr als 20 analysierten echten Popa-Publishern habe keiner eine Nutzereinwilligung abgefragt.
Zur Größe des Netzes nennt Chris Formosa von Black Lotus Labs bei Lumen Technologies eine tägliche Größenordnung von 1,5 bis 2,5 Millionen unterschiedlichen IP-Adressen; gesteuert werde Popa über 250 bis 300 Internetadressen. Jérôme Meyer von Nokia Deepfield hält die Gesamtzahl für möglicherweise deutlich höher. Nokia beobachte 26 von mindestens 359 bekannten Relay-Knoten und schätze, dass jeder davon gleichzeitig zwischen 35.000 und 60.000 Clients bediene. Allein in dem von ihm betrachteten Teilbestand habe Nokia innerhalb von 24 Stunden 750.000 eindeutige Quellen gesehen.