FBI berhasil membongkar [botnet] besar(https://en.wikipedia.org/wiki/Botnet) yang memengaruhi lebih dari 1,2 juta perangkat IoT di seluruh dunia, sekitar 10% di antaranya berada di Jerman. Botnet tersebut, yang disebut Raptor Train, dihapus oleh Departemen Kehakiman AS setelah putusan pengadilan. Tindakan yang diambil di sini adalah memutus lalu lintas IP ke server muatan botnet, infrastruktur, dan server komando dan kontrol (C2). Botnet ditutup setelah pengambilalihan infrastruktur tertentu oleh FBI.
Pada pertengahan tahun 2023, Black Lotus Labs, sebuah divisi dari Lumen Technologies, menemukan botnet IoT dan memberi tahu polisi . Menurut laporan FBI, Integrity Technology Group, sebuah perusahaan Tiongkok bertanggung jawab mengoperasikan botnet tersebut. Perusahaan-perusahaan terkemuka termasuk Microsoft dan CrowdStrike telah mengaitkan inisiatif ini dengan kolektif peretasan Flax Typhoon yang disponsori negara.
Integrity Technology Group mengakuisisi lebih dari 260,000 router, kamera, dan titik akses jaringan (NAS) di seluruh dunia pada bulan Juni, termasuk sekitar 19,000 di Jerman. Perangkat dari sejumlah pabrikan ternama, seperti Asus, DrayTek, Hikvision, dan TP-Link menjadi sasaran botnet. Perangkat yang disusupi ini tidak dimungkinkan karena kerentanan zero-day, melainkan karena kelemahan yang diketahui yang banyak produsen masih melakukan patching dengan pembaruan keamanan. Perangkat yang disusupi dikendalikan oleh infrastruktur yang canggih.
Pengoperasian botnet memiliki tiga lapisan. Jumlah bot yang aktif bervariasi karena malware pada mesin yang terinfeksi, yang disebut level 1, terbatas pada memori dan tidak akan bertahan jika di-boot ulang. Biasanya, perangkat yang disusupi menjadi bagian dari botnet selama kurang lebih 17 hari. Virus ini menginfeksi sekitar 1,2 juta perangkat dalam empat tahun keberadaannya. Black Lotus Labs menamai malware yang digunakan di botnet sebagai Nosedive. Ini didasarkan pada kode Mirai yang terkenal dan kompatibel dengan arsitektur perangkat keras ARM dan x86.
Tujuan utama botnet ini adalah untuk menargetkan institusi Amerika dan Taiwan di bidang pendidikan, telekomunikasi, pemerintahan, dan militer. Server C2 yang menjalankan botnet sebagian tidak dapat diakses oleh para peneliti, namun meskipun demikian, mereka memperhatikan karakteristik canggih yang mengindikasikan kemungkinan serangan DDoS, namun tidak ada serangan seperti itu yang diverifikasi. Penyelidik percaya botnet digunakan untuk melakukan serangan terhadap sistem perangkat keras dan perangkat lunak kelas atas dari perusahaan-perusahaan termasuk Cisco, IBM dan Ivanti, mengambil keuntungan dari kelemahan produk-produk tersebut dan bersembunyi di balik perangkat IoT yang diretas.