Le FBI a réussi à démanteler un vaste botnet qui affectait plus de 1,2 million d'appareils IoT dans le monde, dont environ 10 % en Allemagne. Le botnet, appelé Raptor Train, a été démantelé par le ministère américain de la Justice après une décision de justice. L'action entreprise ici consistait à couper le trafic IP vers les serveurs de charge utile, l'infrastructure et les serveurs de commande et de contrôle (C2) du botnet. Le botnet a été fermé suite au rachat de certaines infrastructures par le FBI.
À la mi-2023, Black Lotus Labs, une division de Lumen Technologies, a découvert le botnet IoT et a informé la police. . Selon les rapports du FBI, Integrity Technology Group, une société chinoise était responsable de l'exploitation du botnet. Des entreprises de premier plan, dont Microsoft et CrowdStrike, ont lié cette initiative au collectif de piratage parrainé par l’État chinois Flax Typhoon.
Integrity Technology Group a acquis en juin plus de 260 000 routeurs, caméras et points d'accès réseau (NAS) dans le monde, dont environ 19 000 en Allemagne. Les appareils d'un certain nombre de fabricants renommés, tels qu'Asus, DrayTek, Hikvision et TP-Link, ont été ciblés par le botnet. Les appareils compromis n'ont pas été rendus possibles par des vulnérabilités Zero Day, mais plutôt par des défauts connus qui de nombreux fabricants continuent de mettre à jour leurs systèmes avec des mises à jour de sécurité. Les appareils compromis étaient contrôlés par une infrastructure sophistiquée.
Le fonctionnement du botnet comportait trois niveaux. Le nombre de robots actifs variait car le malware sur les machines infectées, appelé niveau 1, était limité à la mémoire et ne survivrait pas à un redémarrage. En règle générale, les appareils compromis faisaient partie du botnet pendant environ 17 jours. Il a infecté environ 1,2 million d’appareils au cours de ses quatre années d’existence. Black Lotus Labs a nommé le malware utilisé dans le botnet Nosedive. Il est basé sur le célèbre code Mirai et est compatible avec les architectures matérielles ARM et x86.
L’objectif principal du botnet était de cibler les institutions américaines et taïwanaises des secteurs de l’éducation, des télécommunications, du gouvernement et de l’armée. Les serveurs C2 qui exécutaient le botnet étaient partiellement inaccessibles aux chercheurs, mais malgré cela, ils ont remarqué des caractéristiques avancées qui auraient indiqué la possibilité d'attaques DDoS, mais aucune attaque de ce type n'a été vérifiée. Les enquêteurs pensent que le botnet a été utilisé pour mener des attaques contre des systèmes matériels et logiciels haut de gamme d'entreprises telles que Cisco, IBM et Ivanti, en profitant des faiblesses de ces produits et en se cachant derrière des appareils IoT piratés.