O FBI desmantelou con éxito unha gran botnet que afectou a máis de 1,2 millóns de dispositivos IoT en todo o mundo, ao redor do 10% dos cales estaban en Alemaña. A botnet, chamada Raptor Train, foi retirada polo Departamento de Xustiza dos Estados Unidos tras un fallo xudicial. A acción levada a cabo aquí foi cortar o tráfico IP aos servidores de carga útil, infraestrutura e servidores de comando e control (C2) da botnet. A botnet pechouse tras a toma de determinadas infraestruturas por parte do FBI.
A mediados de 2023, Black Lotus Labs, unha división de Lumen Technologies, descubriu a botnet IoT e notificou á policía . Segundo informes do FBI, Integrity Technology Group, unha empresa chinesa foi a responsable de operar a botnet. Empresas líderes, como Microsoft e CrowdStrike, vincularon a iniciativa co colectivo de hackeos Flax Typhoon, patrocinado polo estado chinés.
Integrity Technology Group adquiriu máis de 260.000 enrutadores, cámaras e puntos de acceso á rede (NAS) en todo o mundo en xuño, incluíndo uns 19.000 en Alemaña. Dispositivos de varios fabricantes coñecidos, como Asus, DrayTek, Hikvision e TP-Link, foron obxectivos da botnet. Os dispositivos comprometidos non foron posibles polas vulnerabilidades de día cero, senón por defectos coñecidos que moitos fabricantes aínda están aplicando actualizacións de seguridade. Os dispositivos comprometidos estaban controlados por unha infraestrutura sofisticada.
O funcionamento da botnet tiña tres capas. O número de bots activos variou porque o malware das máquinas infectadas, chamado nivel 1, estaba limitado á memoria e non sobreviviría a un reinicio. Normalmente, os dispositivos comprometidos formaron parte da botnet durante aproximadamente 17 días. Infectou preto de 1,2 millóns de dispositivos nos seus catro anos de existencia. Black Lotus Labs chamou Nosedive ao malware usado na botnet. Está baseado no famoso código Mirai e é compatible con arquitecturas de hardware ARM e x86.
O obxectivo principal da botnet era dirixirse ás institucións estadounidenses e taiwanesas en educación, telecomunicacións, goberno e militares. Os servidores C2 que executaban a botnet eran parcialmente inaccesibles para os investigadores, pero a pesar diso, notaron características avanzadas que indicarían a posibilidade de ataques DDoS, pero non se verificaron tales ataques. Os investigadores cren que a botnet utilizouse para realizar ataques contra sistemas de hardware e software de gama alta de empresas como Cisco, IBM e Ivanti, aproveitando as debilidades destes produtos e agochándose detrás de dispositivos IoT pirateados.