Nach Angaben von Google hat die GTIG die Zahl der nutzbaren Geräte in NetNut um Millionen reduziert. Das Netzwerk, das Google auch als Popa verfolgt, erstreckt sich demnach über Heimgeräte auf der ganzen Welt. Befindet sich ein solches Gerät in einem Haushalt, können Fremde ihren Datenverkehr über die Internetverbindung dieses Anschlusses leiten.
Google beschreibt NetNut als Residential-Proxy-Netzwerk, das Zugang zu echten privaten IP-Adressen verkauft. Um diesen Gerätepool aufzubauen, müsse der Code der Betreiber auf Heimgeräten laufen. Laut dem Unternehmen ist die Software teils auf günstiger Hardware unbekannter Marken bereits vorinstalliert, teils gelangt sie über kostenlose Apps auf die Geräte. Sobald sie aktiv ist, wird das Gerät zu einem Exit-Knoten, über den der Verkehr Dritter läuft.
Die Sicherheitsrelevanz geht laut Google über das Verbergen von Herkunftsadressen hinaus. Ein Exit-Knoten hole externen Datenverkehr in das Heimnetz und gebe Angreifern damit einen Ansatzpunkt für weitere Geräte im selben Netzwerk. Einige dieser Geräte seien zudem in große Angriffsbots wie Mirai und Badbox 2.0 eingebunden worden.
Wie stark solche Infrastrukturen genutzt werden, illustriert eine Messung der GTIG: In einer einzigen Woche im Juni zählte Google 316 unterschiedliche Bedrohungscluster, die mutmaßliche NetNut-Exit-Knoten nutzten. Darunter waren laut Google sowohl cyberkriminelle Gruppen als auch Spionageakteure, die damit ihren tatsächlichen Standort verschleierten und Passwort-Rateangriffe ausführten.
Bemerkenswert ist für Google auch die Zuordnung hinter dem Netzwerk. Anders als viele andere Proxy-Botnetze lasse sich NetNut auf ein börsennotiertes Unternehmen zurückführen. Im Juni verbanden Forscher von Qurium, Synthient, Nokia Deepfield und Spur Popa mit NetNut. NetNut ist ein Proxy-Anbieter des börsennotierten israelischen Unternehmens Alarum Technologies (NASDAQ: ALAR).
Synthient erklärte, in einem kontrollierten Test sei Datenverkehr, den das Unternehmen in das kommerzielle Gateway von NetNut eingespeist habe, über ein Gerät wieder ausgeleitet worden, das es selbst in Popa registriert hatte. Synthient wertete das als Beleg für den Verkehrsweg, nicht als Nachweis dafür, was NetNut wusste oder beabsichtigte. Google erklärte, die eigenen Erkenntnisse stimmten damit überein: Das Unternehmen betrachtet NetNut und Popa als dasselbe Netzwerk und sieht die öffentliche Berichterstattung als deckungsgleich mit seiner Einschätzung, wie NetNut sein Botnetz aufbaut.
Alarum weist die Bezeichnung „Botnetz“ zurück. Das Unternehmen nennt die Forschung „nachweislich unzutreffende Behauptungen und fehlerhafte Schlussfolgerungen statt verifizierter Fakten“ und erklärt, seine Software diene einem einvernehmlichen Teilen von Bandbreite, ohne die Geräte zu beeinträchtigen, auf denen sie läuft. Die Tests der Forscher stellen diese Darstellung jedoch infrage: Synthient berichtete, dass keine der mehr als 20 untersuchten Apps den Nutzern tatsächlich eine Zustimmungseinblendung gezeigt habe.
Google betont, dass eine Zerschlagung solcher Netzwerke strukturell schwierig ist. NetNut betreibt nach Angaben des Unternehmens ein Reseller-Programm, über das andere Firmen das Netzwerk unter eigenen Markennamen verkaufen. Google gibt an, mit hoher Sicherheit davon auszugehen, dass viele populäre und scheinbar eigenständige Proxy-Marken in Wirklichkeit denselben NetNut-Pool weiterverkaufen. Deshalb spricht Google von einer Schwächung und nicht von einer vollständigen Ausschaltung.
Als Vergleich verweist das Unternehmen auf frühere Maßnahmen gegen das ähnliche, in China ansässige Netzwerk IPIDEA, das Google und Partner im Januar störten. Im Juli 2025 brachte Google zudem die Betreiber von Badbox 2.0 vor Gericht, eines Botnetzes aus übernommenen Android-TV-Geräten mit Überschneidungen zu Popa. Laut Google erwiesen sich diese Netzwerke jedes Mal als widerstandsfähig, weil Betreiber nach Eingriffen Kapazitäten bei Rivalen einkaufen und damit faktisch selbst zu Wiederverkäufern werden.
