Το FBI διέλυσε επιτυχώς ένα μεγάλο botnet που επηρέασε περισσότερες από 1,2 εκατομμύρια συσκευές IoT παγκοσμίως, περίπου το 10% των οποίων ήταν στη Γερμανία. Το botnet, που ονομάζεται Raptor Train, καταργήθηκε από το Υπουργείο Δικαιοσύνης των ΗΠΑ μετά από δικαστική απόφαση. Η ενέργεια που έγινε εδώ ήταν να διακοπεί η κυκλοφορία IP στους διακομιστές ωφέλιμου φορτίου, την υποδομή και τους διακομιστές εντολών και ελέγχου (C2) του botnet. Το botnet έκλεισε μετά την εξαγορά ορισμένων υποδομών από το FBI.
Στα μέσα του 2023, η Black Lotus Labs, ένα τμήμα της Lumen Technologies, ανακάλυψε το botnet IoT και ειδοποίησε την αστυνομία . Σύμφωνα με αναφορές του FBI, η Integrity Technology Group, μια κινεζική εταιρεία ήταν υπεύθυνη για τη λειτουργία του botnet. Κορυφαίες εταιρείες, όπως η Microsoft και η CrowdStrike, έχουν συνδέσει την πρωτοβουλία με την κινεζική κρατική συλλογική πειρατεία Flax Typhoon.
Η Integrity Technology Group απέκτησε περισσότερους από 260.000 δρομολογητές, κάμερες και σημεία πρόσβασης δικτύου (NAS) παγκοσμίως τον Ιούνιο, συμπεριλαμβανομένων περίπου 19.000 στη Γερμανία. Συσκευές από μια σειρά γνωστών κατασκευαστών, όπως η Asus, η DrayTek, η Hikvision και η TP-Link, στοχοποιήθηκαν από το botnet. Οι παραβιασμένες συσκευές δεν κατέστησαν δυνατές από ευπάθειες zero-day, αλλά από γνωστά ελαττώματα που Πολλοί κατασκευαστές εξακολουθούν να επιδιορθώνουν τις ενημερώσεις ασφαλείας. Οι παραβιασμένες συσκευές ελέγχονταν από προηγμένη υποδομή.
Η λειτουργία του botnet είχε τρία επίπεδα. Ο αριθμός των ενεργών ρομπότ διέφερε επειδή το κακόβουλο λογισμικό σε μολυσμένα μηχανήματα, που ονομάζεται επίπεδο 1, περιοριζόταν στη μνήμη και δεν θα μπορούσε να επιβιώσει μετά την επανεκκίνηση. Συνήθως, οι παραβιασμένες συσκευές ήταν μέρος του botnet για περίπου 17 ημέρες. Μόλυνσε περίπου 1,2 εκατομμύρια συσκευές στα τέσσερα χρόνια ύπαρξής του. Η Black Lotus Labs ονόμασε το κακόβουλο λογισμικό που χρησιμοποιείται στο botnet ως Nosedive. Βασίζεται στον διάσημο κώδικα Mirai και είναι συμβατό με αρχιτεκτονικές υλικού ARM και x86.
Ο κύριος στόχος του botnet ήταν να στοχεύσει ιδρύματα των ΗΠΑ και της Ταϊβάν στην εκπαίδευση, τις τηλεπικοινωνίες, την κυβέρνηση και τον στρατό. Οι διακομιστές C2 που έτρεχαν το botnet ήταν εν μέρει απρόσιτοι για τους ερευνητές, αλλά παρόλα αυτά, παρατήρησαν προηγμένα χαρακτηριστικά που θα έδειχναν την πιθανότητα επιθέσεων DDoS, αλλά δεν επαληθεύτηκαν τέτοιες επιθέσεις. Οι ερευνητές πιστεύουν ότι το botnet χρησιμοποιήθηκε για να πραγματοποιήσει επιθέσεις εναντίον συστημάτων υλικού και λογισμικού υψηλής τεχνολογίας από εταιρείες όπως η Cisco, η IBM και η Ivanti, εκμεταλλευόμενοι τις αδυναμίες αυτών των προϊόντων και κρύβοντας πίσω από παραβιασμένες συσκευές IoT.