Matagumpay na na-dismantle ng FBI ang isang malaking botnet na nakaapekto sa higit sa 1.2 milyong IoT device sa buong mundo, halos 10% nito ay nasa Germany. Ang botnet, na tinatawag na Raptor Train, ay ibinaba ng US Department of Justice pagkatapos ng isang desisyon ng korte. Ang aksyon na ginawa dito ay upang putulin ang trapiko ng IP sa mga server ng payload, imprastraktura, at command at control (C2) na server ng botnet. Ang botnet ay isinara kasunod ng pagkuha ng ilang mga imprastraktura ng FBI.
Noong kalagitnaan ng 2023, natuklasan ng Black Lotus Labs, isang dibisyon ng Lumen Technologies, ang IoT botnet at nag-abiso sa pulisya . Ayon sa mga ulat ng FBI, Integrity Technology Group, isang kumpanyang Tsino ang responsable sa pagpapatakbo ng botnet. Ang mga nangungunang kumpanya kabilang ang Microsoft at CrowdStrike ay iniugnay ang inisyatiba sa Chinese state-sponsored hacking collective Flax Typhoon.
Ang Integrity Technology Group ay nakakuha ng higit sa 260,000 router, camera at network access point (NAS) sa buong mundo noong Hunyo, kabilang ang humigit-kumulang 19,000 sa Germany. Ang mga device mula sa ilang kilalang tagagawa, tulad ng Asus, DrayTek, Hikvision at TP-Link, ay na-target ng botnet. Ang mga nakompromisong device ay hindi ginawang posible sa pamamagitan ng zero-day na mga kahinaan, ngunit sa halip ng mga kilalang flaws na maraming mga tagagawa ang nag-aayos pa rin ng mga update sa seguridad. Ang mga nakompromisong device ay kinokontrol ng sopistikadong imprastraktura.
Ang operasyon ng botnet ay may tatlong layer. Ang bilang ng mga aktibong bot ay iba-iba dahil ang malware sa mga nahawaang makina, na tinatawag na antas 1, ay limitado sa memorya at hindi makakaligtas sa pag-reboot. Karaniwan, ang mga nakompromisong device ay bahagi ng botnet sa humigit-kumulang 17 araw. Nahawahan nito ang humigit-kumulang 1.2 milyong device sa loob ng apat na taon nitong pag-iral. Pinangalanan ng Black Lotus Labs ang malware na ginamit sa botnet bilang Nosedive. Ito ay batay sa sikat na Mirai code at tugma sa ARM at x86 na mga arkitektura ng hardware.
Ang pangunahing layunin ng botnet ay i-target ang mga institusyon ng US at Taiwan sa edukasyon, telekomunikasyon, gobyerno at militar. Ang mga C2 server na nagpatakbo ng botnet ay bahagyang hindi naa-access sa mga mananaliksik, ngunit sa kabila nito, napansin nila ang mga advanced na katangian na magsasaad ng posibilidad ng mga pag-atake ng DDoS, ngunit walang ganoong pag-atake ang na-verify. Naniniwala ang mga imbestigador na ginamit ang botnet upang magsagawa ng mga pag-atake laban sa mga high-end na hardware at software system mula sa mga kumpanya kabilang ang Cisco, IBM at Ivanti, sinasamantala ang mga kahinaan sa mga produktong iyon at nagtatago sa likod ng mga na-hack na IoT device.