L’FBI ha smantellato con successo una grande botnet che ha colpito più di 1,2 milioni di dispositivi IoT in tutto il mondo, di cui circa il 10% in Germania. La botnet, chiamata Raptor Train, è stata disattivata dal Dipartimento di Giustizia degli Stati Uniti dopo una sentenza del tribunale. L'azione intrapresa in questo caso è stata quella di interrompere il traffico IP verso i server di carico utile, l'infrastruttura e i server di comando e controllo (C2) della botnet. La botnet è stata chiusa in seguito all'acquisizione di alcune infrastrutture da parte dell'FBI.
A metà del 2023, Black Lotus Labs, una divisione di Lumen Technologies, ha scoperto la botnet IoT e ha informato la polizia . Secondo i rapporti dell'FBI, la gestione della botnet sarebbe stata affidata all'Integrity Technology Group, una società cinese. Aziende leader tra cui Microsoft e CrowdStrike hanno collegato l’iniziativa al collettivo di hacker cinese Flax Typhoon, sponsorizzato dallo stato.
Nel mese di giugno Integrity Technology Group ha acquisito più di 260.000 router, telecamere e punti di accesso alla rete (NAS) in tutto il mondo, di cui circa 19.000 in Germania. La botnet ha preso di mira apparecchi di noti produttori come Asus, DrayTek, Hikvision e TP-Link. I dispositivi compromessi non sono stati resi possibili da vulnerabilità zero-day, ma piuttosto da difetti noti che molti produttori stanno ancora applicando aggiornamenti di sicurezza. I dispositivi compromessi erano controllati da un'infrastruttura sofisticata.
Il funzionamento della botnet prevedeva tre livelli. Il numero di bot attivi variava perché il malware sulle macchine infette, chiamato livello 1, era limitato alla memoria e non sarebbe sopravvissuto al riavvio. In genere, i dispositivi compromessi facevano parte della botnet per circa 17 giorni. Nei suoi quattro anni di esistenza ha infettato circa 1,2 milioni di dispositivi. Black Lotus Labs ha denominato Nosedive il malware utilizzato nella botnet. Si basa sul famoso codice Mirai ed è compatibile con le architetture hardware ARM e x86.
L'obiettivo principale della botnet era prendere di mira le istituzioni statunitensi e taiwanesi nei settori dell'istruzione, delle telecomunicazioni, del governo e dell'esercito. I server C2 che gestivano la botnet erano parzialmente inaccessibili ai ricercatori, ma nonostante ciò hanno notato caratteristiche avanzate che avrebbero indicato la possibilità di attacchi DDoS, ma non è stato verificato alcun attacco del genere. Gli investigatori ritengono che la botnet sia stata utilizzata per sferrare attacchi contro sistemi hardware e software di fascia alta di aziende come Cisco, IBM e Ivanti, sfruttando i punti deboli di tali prodotti e nascondendosi dietro dispositivi IoT hackerati.