FBI úspěšně rozebrala velký botnet, který ovlivnil více než 1,2 milionu zařízení IoT po celém světě, z nichž přibližně 10 % bylo v Německu. Botnet s názvem Raptor Train byl odstraněn ministerstvem spravedlnosti USA po rozhodnutí soudu. Akce, která zde byla přijata, měla odříznout IP provoz na servery užitečného zatížení botnetu, infrastrukturu a servery velení a řízení (C2). Botnet byl uzavřen po převzetí určitých infrastruktur FBI.
V polovině roku 2023 objevila Black Lotus Labs, divize společnosti Lumen Technologies, botnet IoT a informovala policii . Podle zpráv FBI byla za provozování botnetu zodpovědná čínská společnost Integrity Technology Group. Přední společnosti včetně Microsoftu a CrowdStrike spojily iniciativu s čínským státem podporovaným hackerským kolektivem Flax Typhoon.
Integrity Technology Group získala v červnu po celém světě více než 260 000 směrovačů, kamer a síťových přístupových bodů (NAS), včetně přibližně 19 000 v Německu. Cílem botnetu byla zařízení řady známých výrobců, jako jsou Asus, DrayTek, Hikvision a TP-Link. Kompromitovaná zařízení nebyla umožněna zranitelností zero-day, ale spíše známými chybami, které mnoho výrobců stále opravuje bezpečnostní aktualizace. Kompromitovaná zařízení byla řízena sofistikovanou infrastrukturou.
Provoz botnetu měl tři vrstvy. Počet aktivních botů se měnil, protože malware na infikovaných počítačích, nazývaný úroveň 1, byl omezen na paměť a nepřežil by restart. Napadená zařízení byla obvykle součástí botnetu přibližně 17 dní. Za čtyři roky existence infikoval kolem 1,2 milionu zařízení. Black Lotus Labs pojmenovala malware používaný v botnetu jako Nosedive. Je založen na slavném kódu Mirai a je kompatibilní s hardwarovými architekturami ARM a x86.
Hlavním cílem botnetu bylo zacílit na americké a tchajwanské instituce ve vzdělávání, telekomunikacích, vládě a armádě. Servery C2, které provozovaly botnet, byly pro výzkumníky částečně nepřístupné, ale navzdory tomu zaznamenali pokročilé vlastnosti, které by naznačovaly možnost DDoS útoků, ale žádné takové útoky nebyly ověřeny. Vyšetřovatelé se domnívají, že botnet byl použit k provádění útoků proti špičkovým hardwarovým a softwarovým systémům od společností jako Cisco, IBM a Ivanti, přičemž využil slabiny těchto produktů a skryl se za hacknutá zařízení internetu věcí.