FBI ve Google'ın Tehdit İstihbarat Grubu (GITG), uluslararası koordineli bir operasyonla dünyanın en büyük ticari konut proxy ağlarından biri olan NetNut'u çökertti. Lumen Technologies, Shadowserver Vakfı ve ABD İç Gelir Servisi (IRS) Kriminal Soruşturma biriminin de dahil olduğu operasyonda, yüzlerce alan adına el konuldu ve ağın altyapısı hedef alındı. Güvenlik araştırmacıları tarafından 'Popa botnet' olarak da izlenen ağ, küresel çapta 2 milyondan fazla tüketici cihazını ele geçirerek bunları siber suçlular ve devlet destekli casusluk grupları için trafik yönlendirme rölesine dönüştürmüştü.
NetNut'un konut proxy hizmetinin kalbinde, mühendislik ürünü gizli bir iletişim katmanı olan Popa botnet yer alıyordu. NetNut, ucuz, markasız Android tabanlı akıllı TV'lere, akış medya kutularına ve SmartTube gibi resmi olmayan uygulamalara aldatıcı yazılım geliştirme kitleri (SDK) yerleştirerek sıradan ev elektroniğini ele geçirdi. Tüketiciler bu cihazları prize taktığında, ev internet bağlantıları sessizce konut proxy çıkış düğümleri olarak kiralanıyordu. Bu sayede kötü niyetli trafik, meşru ev IP adresleri üzerinden yönlendirilerek standart veri merkezi bloklarını ve güvenlik filtrelerini atlatıyordu. Google'ın 2 Temmuz'da yayınladığı rapora göre, Haziran 2026'da tek bir haftada en az 316 farklı tehdit kümesi, parola püskürtme kampanyaları, kimlik bilgisi doldurma, reklam dolandırıcılığı ve hassas veri kazıma için NetNut çıkış düğümlerini kullandı.
Tipik gizli hacker grupları tarafından işletilen yeraltı botnet'lerinin aksine, NetNut'un ticari bir kuruluşla bağlantılı olduğu ortaya çıktı. Bağımsız siber güvenlik gazetecisi Brian Krebs'in haberine göre NetNut, NASDAQ'ta işlem gören halka açık bir İsrail şirketi olan Alarum Technologies Ltd ile ilişkilendirilebiliyor. Bu tespit, kısmen Qurium ve Synthient gibi firmaların güvenlik araştırmalarına dayanıyor; her iki firma da Alarum'un üst düzey yöneticileri ile kötü amaçlı Popa SDK'sının orijinal geliştiricileri arasında doğrudan bağlantılar kurdu. Alarum, yazılımını tarihsel olarak rızaya dayalı bir bant genişliği paylaşım aracı olarak pazarlasa da, bağımsız teknik incelemeler, ele geçirilen ana bilgisayar uygulamalarının kullanıcılara net bir bildirim veya onay istemi sunmadığını ortaya koydu. FBI'ın NetNut ile ilişkili bazı alan adlarına el koymasının ardından Alarum Technologies, 'Alarum bu konuyu ciddiye almakta ve herhangi bir kötüye kullanımın kapsamlı bir şekilde soruşturulması ve sorumluların hesap vermesi için kolluk kuvvetleriyle tam işbirliği yapacaktır' açıklamasını yaptı.
NetNut altyapısının yeniden inşa edilmesini önlemek için Google, FBI'ın yasal işlemlerinin yanı sıra anında teknik önlemler uyguladı. Şirket, NetNut tarafından kötü amaçlı yazılım komuta-kontrol için kullanılan tüm Google hesaplarını devre dışı bıraktı, Google Play Protect'i Android kullanıcılarını otomatik olarak uyarmak üzere güncelledi ve tehlikeye atılmış SDK'ları içeren uygulamaları devre dışı bıraktı. Google, 'Koordineli eylemlerimizin NetNut'un proxy ağına ve iş operasyonlarına önemli ölçüde zarar verdiğine, proxy operatörü için mevcut cihaz havuzunu milyonlarca azalttığına inanıyoruz' dedi. Şirket, bu eylemin Ocak 2026'da gerçekleşen IPIDEA proxy ağının çökertilmesinin üzerine inşa edildiğini belirtti. Operasyonun ilk aşaması, tehdit istihbarat topluluğunda karışıklığa yol açsa da, güvenlik uzmanları botnet'in arka uç komuta-kontrol sunucularının başarıyla hedef alınıp söküldüğünü ve ağın genel operasyonlarının ciddi şekilde zayıflatıldığını doğruladı.