Az FBI sikeresen felszámolt egy nagy botnetet, amely világszerte több mint 1,2 millió IoT-eszközt érintett, amelyeknek körülbelül 10%-a Németországban volt. A Raptor Train nevű botnetet az Egyesült Államok Igazságügyi Minisztériuma egy bírósági ítéletet követően megszüntette. -népek-köztársaság-kínai állam). Az itt végrehajtott intézkedés az volt, hogy levágják az IP-forgalmat a botnet hasznos kiszolgálóihoz, infrastruktúrájához, valamint parancs- és vezérlőszervereihez (C2). A botnetet bezárták bizonyos infrastruktúrák FBI általi átvétele után.
2023 közepén a Black Lotus Labs, a Lumen Technologies egyik részlege felfedezte az IoT botnetet, és értesítette a rendőrséget . Az FBI jelentései szerint a botnet működtetéséért egy kínai vállalat, az Integrity Technology Group felelt. Vezető cégek, köztük a Microsoft és a CrowdStrike összekapcsolták a kezdeményezést a kínai államilag támogatott Flax Typhoon hackeregyüttessel.
Az Integrity Technology Group júniusban több mint 260 000 routert, kamerát és hálózati hozzáférési pontot (NAS) vásárolt világszerte, ebből mintegy 19 000-et Németországban. Számos ismert gyártó, például az Asus, a DrayTek, a Hikvision és a TP-Link készülékei kerültek a botnet célkeresztjébe. A feltört eszközöket nem a nulladik napi sebezhetőség tették lehetővé, hanem ismert hibák, amelyek sok gyártó még mindig biztonsági frissítésekkel javít. A kompromittált eszközöket kifinomult infrastruktúra vezérelte.
A botnet működése három rétegből állt. Az aktív robotok száma változott, mivel a fertőzött gépeken lévő, 1. szintű kártevő a memóriára korlátozódott, és nem élte túl az újraindítást. A feltört eszközök általában körülbelül 17 napig voltak a botnet részei. Négy éves fennállása alatt körülbelül 1,2 millió eszközt fertőzött meg. A Black Lotus Labs Nosedive néven nevezte el a botnetben használt kártevőt. A híres Mirai kódon alapul, és kompatibilis az ARM és x86 hardverarchitektúrákkal.
A botnet fő célja az volt, hogy az egyesült államokbeli és tajvani oktatási, távközlési, kormányzati és katonai intézményeket célozza meg. A botnetet futtató C2 szerverek részben elérhetetlenek voltak a kutatók számára, de ennek ellenére olyan fejlett jellemzőket észleltek, amelyek DDoS támadások lehetőségére utaltak volna, de ilyen támadásokat nem igazoltak. A nyomozók úgy vélik, hogy a botnetet arra használták, hogy támadásokat hajtsanak végre a Cisco, az IBM és az Ivanti csúcskategóriás hardver- és szoftverrendszerei ellen, kihasználva e termékek gyengeségeit, és feltört IoT-eszközök mögé bújva.