Am 19. Juni veröffentlichten drei Sicherheitsfirmen übereinstimmende Ergebnisse: NetNut betreibe ein Residential-Proxy-Netzwerk, das das Botnetz Popa speise. Dieses verteile Software für Geräte, die häufig in Haushalten zu finden sind, darunter Smart-TVs und Streaming-Boxen. Die Software verwandele die Systeme in ständig verfügbare Proxy-Knoten, die an andere weitervermietet würden.
Laut Google Threat Intelligence Group (GTIG) wird NetNuts Proxy-Netz breit weiterverkauft und von verschiedenen Drittanbietern unter eigener Marke angeboten. Die Dienste seien besonders bei Cyberkriminellen gefragt, die die Herkunft ihres schädlichen Datenverkehrs verschleiern wollten. Google beobachtete nach eigenen Angaben in nur einer Woche im Juni 2026 insgesamt 316 unterschiedliche Cluster von Bedrohungsakteuren, die mutmaßliche NetNut-Ausgangsknoten nutzten, darunter Gruppen aus dem Bereich Cyberkriminalität und Cyberspionage.
Die GTIG beschreibt, wie diese Infrastruktur eingesetzt wird: Angreifer könnten NetNut nutzen, um ihre Ursprungs-IP-Adresse zu verbergen, wenn sie auf Umgebungen von Opfern zugreifen, ihre eigene Infrastruktur erreichen oder Passwort-Spraying-Angriffe durchführen. Wenn ein Verbrauchergerät zu einem Ausgangsknoten werde, laufe zudem unautorisierter Netzwerkverkehr darüber. Dadurch könnten Angreifer auf andere private Geräte im selben Heimnetz zugreifen und sie Bedrohungen aus dem Internet aussetzen.
Google teilte mit, Konten und Dienste deaktiviert zu haben, die NetNut für Kommando-und-Kontroll-Funktionen der Schadsoftware verwendet habe. Außerdem habe das Unternehmen technische Erkenntnisse zu NetNuts Software Development Kits und Backend-Infrastruktur an Plattformbetreiber, Strafverfolger und Forschungsfirmen weitergegeben. Zusätzlich deaktivierte Google Anwendungen, von denen bekannt war, dass sie verschiedene NetNut-SDKs bündelten.
Omer Weiss, Rechtsberater von NetNuts Muttergesellschaft Alarum Technologies, erklärte, das Unternehmen kenne die Beschlagnahmung durch das FBI und kooperiere mit den Ermittlern. In einer schriftlichen Stellungnahme sagte Weiss, Alarum nehme die Angelegenheit ernst und werde vollständig mit den Strafverfolgungsbehörden zusammenarbeiten, damit jeder Missbrauch seiner Infrastruktur gründlich untersucht und die Verantwortlichen zur Rechenschaft gezogen würden.
Benjamin Brundage, Gründer des Proxy-Tracking-Dienstes Synthient, dessen Unternehmen im vergangenen Monat Belege für die Verbindung zwischen Popa, NetNut und Alarum Technologies veröffentlicht hatte, sieht bereits Auswirkungen. Die Domain-Beschlagnahmungen hätten offenbar sowohl das Popa-Botnetz als auch das darauf aufsetzende NetNut-Proxy-Netzwerk gestört. Für die Cyberkriminalität sei das voraussichtlich ein erheblicher Nachteil, zumal Google zu Beginn dieses Jahres bereits Infrastruktur von IPIDEA beschlagnahmt habe, dem größten Konkurrenten von NetNut.
Brundage verwies zudem auf einen möglichen Nebeneffekt für DDoS-Botnetze. Synthient hatte im Januar offengelegt, wie Cyberkriminelle durch IPIDEA-Proxy-Verbindungen in lokale Netzwerke von Besitzern von TV-Boxen eindrangen und weitere Android-Geräte hinter der Firewall der Opfer infizierten, um so das laut Synthient weltweit größte DDoS-Botnetz Kimwolf aufzubauen. Der Ausfall von NetNut könne deshalb auch Auswirkungen auf solche DDoS-Botnetze haben.
Google geht davon aus, dass die jetzigen Maßnahmen zu einer „erheblichen Beeinträchtigung des Proxy-Netzwerks und des Geschäftsbetriebs von NetNut“ geführt haben und den verfügbaren Gerätepool des Proxy-Betreibers um Millionen reduziert haben. Zugleich warnt das Unternehmen, dass sich solche Proxy-Netzwerke neu aufbauen können, indem sie Kapazitäten anderer Anbieter weiterverkaufen, wie es IPIDEA in den vergangenen Monaten getan habe. Laut GTIG besteht große Zuversicht, dass viele bekannte Marken für Residential Proxys in Wirklichkeit das NetNut-Botnetz unter eigener Marke weiterverkaufen.
