FBI afmonterede med succes et stort botnet, der påvirkede mere end 1,2 millioner IoT-enheder på verdensplan, hvoraf omkring 10 % var i Tyskland. Botnettet, kaldet Raptor Train, blev fjernet af det amerikanske justitsministerium efter en domstolsafgørelse. Handlingen her var at afbryde IP-trafik til botnettets nyttelastservere, infrastruktur og kommando- og kontrolservere (C2). Botnettet blev lukket efter FBI's overtagelse af visse infrastrukturer.
I midten af 2023 opdagede Black Lotus Labs, en afdeling af Lumen Technologies, IoT-botnettet og underrettede politiet . Ifølge FBI-rapporter var Integrity Technology Group, et kinesisk firma ansvarlig for driften af botnettet. Ledende virksomheder inklusive Microsoft og CrowdStrike har knyttet initiativet til det kinesiske statssponsorerede hackerkollektiv Flax Typhoon.
Integrity Technology Group købte mere end 260.000 routere, kameraer og netværksadgangspunkter (NAS) på verdensplan i juni, herunder omkring 19.000 i Tyskland. Enheder fra en række kendte producenter, såsom Asus, DrayTek, Hikvision og TP-Link, var målrettet af botnettet. De kompromitterede enheder blev ikke muliggjort af nul-dages sårbarheder, men snarere af kendte fejl, der mange producenter patcher stadig med sikkerhedsopdateringer. De kompromitterede enheder blev styret af sofistikeret infrastruktur.
Driften af botnettet havde tre lag. Antallet af aktive bots varierede, fordi malwaren på inficerede maskiner, kaldet niveau 1, var begrænset til hukommelsen og ikke ville overleve en genstart. Typisk var kompromitterede enheder en del af botnettet i cirka 17 dage. Det inficerede omkring 1,2 millioner enheder i dets fire års eksistens. Black Lotus Labs har navngivet den malware, der bruges i botnettet, som Nosedive. Den er baseret på den berømte Mirai-kode og er kompatibel med ARM- og x86-hardwarearkitekturer.
Hovedmålet med botnettet var at målrette amerikanske og taiwanske institutioner inden for uddannelse, telekommunikation, regering og militær. C2-serverne, der kørte botnettet, var delvist utilgængelige for forskerne, men på trods af dette bemærkede de avancerede karakteristika, der ville have indikeret muligheden for DDoS-angreb, men ingen sådanne angreb blev verificeret. Efterforskere mener, at botnettet blev brugt til at udføre angreb mod avancerede hardware- og softwaresystemer fra virksomheder, herunder Cisco, IBM og Ivanti, ved at udnytte svagheder i disse produkter og gemme sig bag hackede IoT-enheder.