L'FBI va desmantellar amb èxit una gran botnet que va afectar més d'1,2 milions de dispositius IoT a tot el món, al voltant del 10% dels quals es trobaven a Alemanya. La botnet, anomenada Raptor Train, va ser eliminada pel Departament de Justícia dels EUA després d'una sentència judicial -pobles-república-xinès-estat). L'acció que es va fer aquí va ser tallar el trànsit IP als servidors de càrrega útil, la infraestructura i els servidors de comandament i control (C2) de la botnet. La botnet es va tancar arran de la presa de possessió de determinades infraestructures per part de l'FBI.
A mitjans de 2023, Black Lotus Labs, una divisió de Lumen Technologies, va descobrir la botnet IoT i va notificar a la policia . Segons els informes de l'FBI, Integrity Technology Group, una empresa xinesa va ser responsable d'operar la botnet. Empreses líders com Microsoft i CrowdStrike han vinculat la iniciativa al col·lectiu de pirateria informàtica patrocinat per l'estat xinès Flax Typhoon.
Integrity Technology Group va adquirir més de 260.000 encaminadors, càmeres i punts d'accés a la xarxa (NAS) a tot el món al juny, inclosos uns 19.000 a Alemanya. Dispositius de diversos fabricants coneguts, com Asus, DrayTek, Hikvision i TP-Link, van ser els objectius de la botnet. Els dispositius compromesos no van ser possibles per vulnerabilitats de dia zero, sinó per defectes coneguts que molts fabricants encara estan aplicant actualitzacions de seguretat. Els dispositius compromesos estaven controlats per una infraestructura sofisticada.
El funcionament de la botnet tenia tres capes. El nombre de bots actius va variar perquè el programari maliciós de les màquines infectades, anomenat nivell 1, estava limitat a la memòria i no sobreviuria a un reinici. Normalment, els dispositius compromesos formaven part de la botnet durant aproximadament 17 dies. Va infectar al voltant d'1,2 milions de dispositius en els seus quatre anys d'existència. Black Lotus Labs ha anomenat el programari maliciós utilitzat a la botnet com Nosedive. Es basa en el famós codi Mirai i és compatible amb arquitectures de maquinari ARM i x86.
L'objectiu principal de la botnet era dirigir-se a institucions nord-americanes i taiwaneses en educació, telecomunicacions, govern i militars. Els servidors C2 que executaven la botnet eren parcialment inaccessibles per als investigadors, però malgrat això, van observar característiques avançades que haurien indicat la possibilitat d'atacs DDoS, però no es van verificar aquests atacs. Els investigadors creuen que la botnet es va utilitzar per dur a terme atacs contra sistemes de maquinari i programari de gamma alta d'empreses com Cisco, IBM i Ivanti, aprofitant les debilitats d'aquests productes i amagant-se darrere de dispositius IoT piratejats.