ФБР паспяхова дэмантавала вялікі ботнет, які закрануў больш за 1,2 мільёна прылад IoT па ўсім свеце, каля 10% з якіх знаходзіліся ў Германіі. Ботнет пад назвай Raptor Train быў спынены Міністэрствам юстыцыі ЗША пасля рашэння суда. Дзеянне, прынятае тут, заключалася ў тым, каб адрэзаць IP-трафік да сервераў карыснай нагрузкі, інфраструктуры і сервераў камандавання і кантролю (C2) бот-сеткі. Ботнет быў зачынены пасля таго, як ФБР завалодала некаторымі інфраструктурамі.
У сярэдзіне 2023 года Black Lotus Labs, падраздзяленне Lumen Technologies, выявіла ботнет IoT і паведаміла паліцыі . Паводле справаздач ФБР, Integrity Technology Group, кітайская кампанія адказвала за працу ботнета. Вядучыя кампаніі, у тым ліку Microsoft і CrowdStrike, звязваюць ініцыятыву з кітайскім дзяржаўным хакерскім калектывам Flax Typhoon.
Integrity Technology Group набыла ў чэрвені больш за 260 000 маршрутызатараў, камер і кропак доступу да сеткі (NAS) па ўсім свеце, у тым ліку каля 19 000 у Германіі. Прылады шэрагу вядомых вытворцаў, такіх як Asus, DrayTek, Hikvision і TP-Link, сталі мішэнню ботнета. Скампраметаваныя прылады сталі магчымымі не дзякуючы ўразлівасцям нулявога дня, а хутчэй вядомым недахопам, якія многія вытворцы па-ранейшаму абнаўляюць сістэму бяспекі. Узламаныя прылады кантраляваліся складанай інфраструктурай.
Праца ботнета мела тры ўзроўні. Колькасць актыўных ботаў адрознівалася, таму што шкоднаснае ПЗ на заражаных машынах, якое называецца 1-га ўзроўню, было абмежавана памяццю і не вытрымлівала перазагрузкі. Як правіла, скампраметаваныя прылады былі часткай ботнета прыблізна 17 дзён. За чатыры гады існавання ён заразіў каля 1,2 мільёна прылад. Кампанія Black Lotus Labs назвала шкоднаснае ПЗ, якое выкарыстоўваецца ў бот-сетцы, Nosedive. Ён заснаваны на знакамітым кодзе Mirai і сумяшчальны з апаратнымі архітэктурамі ARM і x86.
Асноўнай мэтай ботнета было нацэльванне на ўстановы адукацыі, тэлекамунікацый, урада і арміі ЗША і Тайваня. Серверы C2, якія запускалі ботнет, былі часткова недаступныя для даследчыкаў, але, нягледзячы на гэта, яны заўважылі пашыраныя характарыстыкі, якія паказвалі б на магчымасць DDoS-нападаў, але такія атакі не былі правераны. Следчыя мяркуюць, што ботнет выкарыстоўваўся для атак на апаратныя і праграмныя сістэмы высокага класа такіх кампаній, як Cisco, IBM і Ivanti, выкарыстоўваючы недахопы гэтых прадуктаў і хаваючыся за ўзламанымі прыладамі IoT.