El FBI desmanteló con éxito una gran botnet que afectaba a más de 1,2 millones de dispositivos IoT en todo el mundo, alrededor del 10% de los cuales se encontraban en Alemania. La botnet, llamada Raptor Train, fue eliminada por el Departamento de Justicia de EE. UU. después de un fallo judicial. La acción tomada aquí fue cortar el tráfico IP a los servidores de carga útil, la infraestructura y los servidores de comando y control (C2) de la botnet. La botnet se cerró tras la adquisición de determinadas infraestructuras por parte del FBI.
A mediados de 2023, Black Lotus Labs, una división de Lumen Technologies, descubrió la botnet IoT y notificó a la policía. . Según informes del FBI, Integrity Technology Group, una empresa china, era la responsable de operar la botnet. Empresas líderes, incluidas Microsoft y CrowdStrike, han vinculado la iniciativa con el colectivo de piratería informática patrocinado por el estado chino Flax Typhoon.
Integrity Technology Group adquirió más de 260.000 enrutadores, cámaras y puntos de acceso a red (NAS) en todo el mundo en junio, incluidos alrededor de 19.000 en Alemania. La botnet atacó dispositivos de varios fabricantes conocidos, como Asus, DrayTek, Hikvision y TP-Link. Los dispositivos comprometidos no fueron posibles gracias a vulnerabilidades de día cero, sino a defectos conocidos que Muchos fabricantes todavía están aplicando parches con actualizaciones de seguridad. Los dispositivos comprometidos estaban controlados por una infraestructura sofisticada.
El funcionamiento de la botnet tenía tres capas. La cantidad de bots activos varió porque el malware en las máquinas infectadas, llamado nivel 1, estaba limitado a la memoria y no sobrevivía a un reinicio. Normalmente, los dispositivos comprometidos formaban parte de la botnet durante aproximadamente 17 días. Infectó alrededor de 1,2 millones de dispositivos en sus cuatro años de existencia. Black Lotus Labs ha denominado el malware utilizado en la botnet como Nosedive. Está basado en el famoso código Mirai y es compatible con arquitecturas de hardware ARM y x86.
El principal objetivo de la botnet era atacar instituciones estadounidenses y taiwanesas en los sectores de educación, telecomunicaciones, gobierno y ejército. Los servidores C2 que ejecutaban la botnet eran parcialmente inaccesibles para los investigadores, pero a pesar de esto, notaron características avanzadas que habrían indicado la posibilidad de ataques DDoS, pero tales ataques no fueron verificados. Los investigadores creen que la botnet se utilizó para llevar a cabo ataques contra sistemas de hardware y software de alta gama de empresas como Cisco, IBM e Ivanti, aprovechando las debilidades de esos productos y ocultándose detrás de dispositivos IoT pirateados.