FBI onnistui purkamaan suuren botnetin, joka vaikutti yli 1,2 miljoonaan IoT-laitteeseen maailmanlaajuisesti, joista noin 10 % oli Saksassa. Yhdysvaltain oikeusministeriö poisti Raptor Train -nimisen bottiverkon [tuomioistuimen päätöksen] jälkeen (https://www.justice.gov/opa/pr/court-authorized-operation-disrupts-worldwide-botnet-used -kansat-tasavalta-kiina-valtio). Tässä toteutettu toimenpide oli katkaista IP-liikenne botnetin hyötykuormapalvelimiin, infrastruktuuriin sekä komento- ja ohjauspalvelimiin (C2). Bottiverkko suljettiin, kun FBI oli ottanut haltuunsa tietyt infrastruktuurit.
Vuoden 2023 puolivälissä Black Lotus Labs, Lumen Technologiesin divisioona, löysi IoT-bottiverkon ja ilmoitti asiasta poliisille. . FBI:n raporttien mukaan kiinalainen Integrity Technology Group vastasi bottiverkon toiminnasta. Johtavat yritykset, kuten Microsoft ja CrowdStrike, ovat yhdistäneet aloitteen Kiinan valtion tukemaan hakkerointikollektiiviin Flax Typhoon.
Integrity Technology Group osti kesäkuussa yli 260 000 reititintä, kameraa ja verkkotukipistettä (NAS) maailmanlaajuisesti, joista noin 19 000 Saksasta. Bottiverkon kohteena olivat useiden tunnettujen valmistajien laitteet, kuten Asus, DrayTek, Hikvision ja TP-Link. Vaarallisia laitteita eivät tehneet mahdolliseksi nollapäivän haavoittuvuudet, vaan pikemminkin tunnetut puutteet, jotka monet valmistajat korjaavat edelleen tietoturvapäivityksiä. Vaarallisia laitteita ohjattiin kehittyneellä infrastruktuurilla.
Bottiverkon toiminnassa oli kolme kerrosta. Aktiivisten robottien määrä vaihteli, koska tartunnan saaneiden koneiden haittaohjelmat, nimeltään taso 1, rajoittuivat muistiin eivätkä kestäneet uudelleenkäynnistystä. Tyypillisesti vaarantuneet laitteet olivat osa bottiverkkoa noin 17 päivän ajan. Se tartutti noin 1,2 miljoonaa laitetta neljän olemassaolonsa aikana. Black Lotus Labs on nimennyt bottiverkossa käytetyn haittaohjelman Nosediveksi. Se perustuu kuuluisaan Mirai-koodiin ja on yhteensopiva ARM- ja x86-laitteistoarkkitehtuurien kanssa.
Bottiverkon päätavoite oli kohdistaa Yhdysvaltojen ja Taiwanin koulutus-, televiestintä-, hallinto- ja armeijalaitokset. Bottiverkkoa pyörittäneet C2-palvelimet olivat osittain tutkijoiden ulottumattomissa, mutta tästä huolimatta he huomasivat edistyneitä ominaisuuksia, jotka olisivat osoittaneet DDoS-hyökkäysten mahdollisuutta, mutta sellaisia hyökkäyksiä ei varmistettu. Tutkijat uskovat, että bottiverkkoa käytettiin hyökkäyksiin Ciscon, IBM:n ja Ivantin huippuluokan laitteistoja ja ohjelmistojärjestelmiä vastaan, hyödyntäen näiden tuotteiden heikkouksia ja piiloutuen hakkeroitujen IoT-laitteiden taakse.