Google hat nach eigenen Angaben zusammen mit dem U.S. Federal Bureau of Investigation, Lumen und weiteren Partnern Maßnahmen gegen das Residential-Proxy-Netzwerk NetNut ergriffen, das auch unter dem Namen Popa bekannt ist. Die Aktion knüpft laut dem Rückblick an die Abschaltung von IPIDEA im Januar 2026 an.

Wie Google mitteilt, wurden Google-Konten und verbundene Google-Dienste deaktiviert, die NetNut für Malware-Kommando-und-Kontroll-Systeme genutzt habe. Zusätzlich habe das Unternehmen Google Play Protect aktualisiert und Anwendungen deaktiviert, von denen bekannt sei, dass sie NetNut-SDKs enthalten.

Die Größe des Netzwerks wird auf mindestens 2 Millionen Geräte weltweit geschätzt. Google zufolge bestückt NetNut sein Botnetz über SDKs für Geräte, die häufig in Haushalten zu finden sind, darunter Smart-TVs und Streaming-Boxen. Das Unternehmen erklärte zudem, Komponenten von NetNut-Botnetz-Erweiterungen für groß angelegte Botnetze wie BADBOX 2.0 identifiziert zu haben.

Das Ziel des Netzwerks besteht laut Google darin, Datenverkehr über diese Geräte zu leiten, damit böswillige Akteure ihre Aktivitäten verschleiern können. Die betroffenen Geräte seien entweder bereits vor dem Kauf mit Malware versehen oder würden kompromittiert, weil Nutzer unbemerkt Anwendungen mit verstecktem Proxy-Code herunterladen.

Daneben listet der Wochenrückblick eine große Zahl an Schwachstellen auf, die als besonders relevant eingestuft werden, weil sie hohe Schweregrade aufweisen, weit verbreitete Produkte betreffen oder bereits auf Ausnutzbarkeit geprüft würden. Genannt werden unter anderem CVE-2026-48276, CVE-2026-48283, CVE-2026-48277, CVE-2026-48281, CVE-2026-48316, CVE-2026-48282, CVE-2026-48313 und CVE-2026-48315 in Adobe ColdFusion sowie CVE-2026-48286 in Adobe Campaign Classic.

Weitere aufgeführte Lücken betreffen unter anderem Cursor mit CVE-2026-50548 und CVE-2026-50549, den Linux-Kernel mit CVE-2026-46242 alias Bad Epoll, FatFs mit CVE-2026-6682, CVE-2026-6687 und CVE-2026-6688 sowie Progress Kemp LoadMaster mit CVE-2026-8037. Ebenfalls in der Liste stehen Daktronics Controller Firmware, Dell Wyse Management Suite, Dgraph und Anthropic Buffa mit CVE-2026-31928, CVE-2026-41120, CVE-2026-41492 und CVE-2026-55047.

Hinzu kommen eine ganze Serie von Chrome-Schwachstellen von CVE-2026-13774 bis CVE-2026-13788, außerdem Einträge für Langflow, Sonatype Nexus Repository und den Little Orbits GameFirst Anti-Cheat-Treiber. Auch ClamAV, Cisco Catalyst Center, Apache ActiveMQ, WatchGuard Fireware OS, Microsoft Exchange Server, WinRAR, Fluentd, Apache Tomcat, Synology MailPlus Server, Webmin, pgAdmin, QNAP QTS, QuTS hero, QuTS cloud und QVP, wolfSSL, phpBB und Gitea werden mit konkreten CVE-Nummern genannt.

Der Rückblick fasst diese Woche als eine Phase zusammen, in der alltägliche und vermeintlich unspektakuläre Komponenten zum Risiko wurden. Genannt werden dabei Heimgeräte, saubere Code-Basen mit problematischen Abhängigkeiten, gealterte Abkürzungen bei Identitätsfunktionen sowie KI-Systeme, die den falschen Anweisungen vertrauten. Als gemeinsamer Nenner wird beschrieben, dass Vertrauen jeweils eine Ebene zu früh gesetzt worden sei.