FBIk arrakastaz desmuntatu zuen botnet mundu osoan 1,2 milioi IoT gailu baino gehiagori eragiten ziena, eta horietatik %10 inguru Alemanian zeuden. Raptor Train izeneko botnet-a AEBetako Justizia Sailak kendu zuen epai judizial baten ondoren -herria-errepublika-txina-estatua). Hemen egindako ekintza botnet-eko karga-zerbitzarietarako IP trafikoa moztea izan zen, azpiegitura eta komando eta kontrol (C2) zerbitzarietara. FBIk azpiegitura batzuk bereganatu ostean itxi zuten botnet-a.
2023aren erdialdean, Black Lotus Labs, Lumen Technologies-en dibisio batek, IoT botnet-a aurkitu zuen eta poliziari jakinarazi zion. . FBIren txostenen arabera, Integrity Technology Group, Txinako konpainia bat zen botnet-a ustiatzeko ardura. Microsoft eta CrowdStrike, besteak beste, konpainia nagusiek Txinako estatuak babestutako Flax Typhoon hacking kolektiboarekin lotu dute ekimena.
Integrity Technology Group-ek 260.000 bideratzaile, kamera eta sareko sarbide-puntu (NAS) baino gehiago eskuratu zituen ekainean mundu osoan, Alemanian 19.000 inguru barne. Hainbat fabrikatzaile ezagunen gailuak, hala nola, Asus, DrayTek, Hikvision eta TP-Link, botnet-en xede ziren. Konprometitutako gailuak ez ziren posible egin zero-eguneko ahultasunengatik, baizik eta akats ezagunak fabrikatzaile askok oraindik segurtasun-eguneratzeekin adabakitzen ari dira. Konprometitutako gailuak azpiegitura sofistikatu baten bidez kontrolatzen ziren.
Botnet-aren funtzionamenduak hiru geruza zituen. Bot aktiboen kopurua aldatu egin zen infektatutako makinetako malwarea, 1. maila izenekoa, memoriara mugatuta zegoelako eta ez zuelako berrabiarazten bizirik iraungo. Normalean, konprometitutako gailuak botnetaren parte ziren gutxi gorabehera 17 egunez. 1,2 milioi gailu inguru kutsatu zituen bere lau urteetan. Black Lotus Labs-ek botnet-ean erabilitako malwareari Nosedive izendatu du. Mirai kode ospetsuan oinarrituta dago eta ARM eta x86 hardware arkitekturekin bateragarria da.
Botnet-aren helburu nagusia AEBetako eta Taiwango erakundeak hezkuntzan, telekomunikazioetan, gobernuan eta militarretan jokatzea zen. Botnet-a exekutatzen zuten C2 zerbitzariak partzialki eskuraezinak ziren ikertzaileentzat, baina hala ere, DDoS erasoak egiteko aukera adieraziko zuten ezaugarri aurreratuak nabaritu zituzten, baina ez zen halako erasorik egiaztatu. Ikertzaileek uste dute botnet-a Cisco, IBM eta Ivanti bezalako enpresen hardware eta software sistemen aurkako erasoak egiteko erabili zela, produktu horien ahuleziak aprobetxatuz eta hackeatutako IoT gailuen atzean ezkutatuta.