Die FBI het 'n groot botnet suksesvol afgebreek wat meer as 1,2 miljoen IoT-toestelle wêreldwyd geraak het, waarvan ongeveer 10% in Duitsland was. Die botnet, genaamd Raptor Train, is deur die Amerikaanse departement van justisie verwyder na 'n hofuitspraak. Die aksie wat hier geneem is, was om IP-verkeer na die botnet se loonvragbedieners, infrastruktuur en bevel-en-beheer (C2)-bedieners af te sny. Die botnet is gesluit ná die oorname van sekere infrastruktuur deur die FBI.
In die middel van 2023 het Black Lotus Labs, 'n afdeling van Lumen Technologies, die IoT-botnet ontdek en die polisie in kennis gestel . Volgens FBI-verslae was Integrity Technology Group, 'n Chinese maatskappy verantwoordelik vir die bedryf van die botnet. Toonaangewende maatskappye, insluitend Microsoft en CrowdStrike, het die inisiatief gekoppel aan die Chinese staatsgesteunde inbraakkollektief Flax Typhoon.
Integrity Technology Group het in Junie meer as 260 000 routers, kameras en netwerktoegangspunte (NAS) wêreldwyd bekom, insluitend sowat 19 000 in Duitsland. Toestelle van 'n aantal bekende vervaardigers, soos Asus, DrayTek, Hikvision en TP-Link, is deur die botnet geteiken. Die gekompromitteerde toestelle is nie moontlik gemaak deur nul-dag kwesbaarhede nie, maar eerder deur bekende foute wat baie vervaardigers pleister steeds met sekuriteitsopdaterings. Die gekompromitteerde toestelle is deur gesofistikeerde infrastruktuur beheer.
Die werking van die botnet het drie lae gehad. Die aantal aktiewe bots het gewissel omdat die wanware op besmette masjiene, genaamd vlak 1, tot geheue beperk was en nie 'n herlaai sou oorleef nie. Gewoonlik was gekompromitteerde toestelle vir ongeveer 17 dae deel van die botnet. Dit het ongeveer 1,2 miljoen toestelle in sy vier jaar van bestaan besmet. Black Lotus Labs het die wanware wat in die botnet gebruik word, as Nosedive genoem. Dit is gebaseer op die bekende Mirai-kode en is versoenbaar met ARM- en x86-hardeware-argitekture.
Die hoofdoel van die botnet was om Amerikaanse en Taiwanese instellings in onderwys, telekommunikasie, regering en die weermag te teiken. Die C2-bedieners wat die botnet bestuur het, was gedeeltelik ontoeganklik vir die navorsers, maar ten spyte hiervan het hulle gevorderde eienskappe opgemerk wat die moontlikheid van DDoS-aanvalle sou aandui, maar geen sulke aanvalle is geverifieer nie. Ondersoekers glo die botnet is gebruik om aanvalle teen hoë-end hardeware en sagteware stelsels uit te voer van maatskappye insluitend Cisco, IBM en Ivanti, wat voordeel trek uit swakhede in daardie produkte en wegkruip agter gekapte IoT-toestelle.