У результаті операції, очолюваної ФБР та експертами Google у сфері кібербезпеки, було нейтралізовано ботнет NetNut, який використовувався як комерційний проксі-сервіс. У мережі працювало понад 2 млн пристроїв по всьому світу, які перенаправляли інтернет-трафік через домашні підключення.
Основу ботнету склав комплект для розробки шкідливого ПЗ, вбудований у недорогі пристрої на базі Android, зокрема смарт-телевізори, стрімінгові приставки та неофіційні клієнтські додатки, серед яких — SmartTube. Після підключення ці пристрої починали діяти як точки входу проксі-серверів, не інформуючи про це користувачів. Зловмисники направляли трафік через домашні IP-адреси, що ускладнювало виявлення або блокування шкідливої діяльності системами безпеки.
Лише за один тиждень у червні 2026 року щонайменше 316 різних угруповань використовували мережу NetNut для підбору паролів, крадіжки облікових даних, реалізації шахрайських схем з рекламою та збору конфіденційних даних. Механізм роботи відрізняв NetNut від звичайних підпільних ботнетів — експерти пов’язали його з ізраїльською компанією Alarum Technologies, акції якої торгуються на Nasdaq. Раніше Alarum описувала свою платформу як сервіс добровільного спільного використання широкосмугового доступу, але, як показали незалежні технічні огляди, користувачів належним чином не інформували про те, що їхні пристрої працюватимуть у проксі-мережі, і згоди у них теж не запитували. Коли домени, пов’язані з NetNut, були вилучені, у Alarum пообіцяли «повністю співпрацювати з правоохоронними органами».
NetNut працювала за моделлю реселера, яка дозволяла іншим компаніям перейменовувати мережу та продавати доступ до тієї самої інфраструктури. За версією Google, багато популярних проксі-брендів будувалися на мережі NetNut. Влада вилучила кілька сотень доменів, пов’язаних із сервісом, а Google заблокувала облікові записи, пов’язані з серверами управління, та оновила захист Play Protect, щоб позначити додатки, пов’язані з незаконною схемою — ті, що містили скомпрометований SDK, були відключені.

ФБР не стало відключати всі домени одночасно — деякі продовжували працювати деякий час після початку операції. Експерти зазначили, що після виведення інфраструктури, яка керувала ботнетом, присутність деяких сайтів у мережі вже ні на що не впливала.