FTB sėkmingai išardė didelį botnetą, kuris paveikė daugiau nei 1,2 mln. daiktų interneto įrenginių visame pasaulyje, iš kurių maždaug 10 % buvo Vokietijoje. Botnetą, pavadintą „Raptor Train“, JAV teisingumo departamentas panaikino po teismo sprendimo. Veiksmas, kurio buvo imtasi čia, buvo nutraukti IP srautą į botneto naudingos apkrovos serverius, infrastruktūrą ir komandų ir valdymo (C2) serverius. Botnetas buvo uždarytas FTB perėmus tam tikras infrastruktūras.
2023 m. viduryje Black Lotus Labs, Lumen Technologies padalinys, atrado daiktų interneto robotų tinklą ir pranešė policijai. . Remiantis FTB ataskaitomis, už botneto valdymą buvo atsakinga Kinijos įmonė „Integrity Technology Group“. Pirmaujančios įmonės, įskaitant „Microsoft“ ir „CrowdStrike“, susiejo iniciatyvą su Kinijos valstybės remiamu įsilaužėlių kolektyvu „Flax Typhoon“.
„Integrity Technology Group“ birželį visame pasaulyje įsigijo daugiau nei 260 000 maršrutizatorių, kamerų ir tinklo prieigos taškų (NAS), įskaitant apie 19 000 Vokietijoje. Botnetas buvo skirtas daugelio žinomų gamintojų, tokių kaip Asus, DrayTek, Hikvision ir TP-Link, įrenginiai. Įrenginius, kuriems buvo pakenkta, tapo įmanoma ne dėl nulinės dienos pažeidžiamumų, o dėl žinomų trūkumų, kurie daugelis gamintojų vis dar pataiso saugos naujinimus. Sukompromituoti įrenginiai buvo valdomi sudėtinga infrastruktūra.
Botneto veikimas turėjo tris sluoksnius. Aktyvių robotų skaičius skyrėsi, nes užkrėstuose kompiuteriuose esanti kenkėjiška programa, vadinama 1 lygiu, apsiribojo atmintimi ir neatlaikys perkrovimo. Paprastai pažeisti įrenginiai buvo robotų tinklo dalis maždaug 17 dienų. Per ketverius gyvavimo metus ji užkrėtė apie 1,2 milijono įrenginių. „Black Lotus Labs“ botnete naudojamą kenkėjišką programą pavadino „Nosedive“. Jis pagrįstas garsiuoju Mirai kodu ir yra suderinamas su ARM ir x86 aparatinės įrangos architektūromis.
Pagrindinis botneto tikslas buvo nukreipti į JAV ir Taivano institucijas švietimo, telekomunikacijų, vyriausybės ir kariuomenės srityse. C2 serveriai, kuriuose buvo naudojamas robotų tinklas, tyrėjams buvo iš dalies nepasiekiami, tačiau nepaisant to, jie pastebėjo pažangias charakteristikas, rodančias DDoS atakų tikimybę, tačiau tokios atakos nebuvo patikrintos. Tyrėjai mano, kad robotų tinklas buvo naudojamas atakoms prieš aukščiausios klasės aparatinę ir programinės įrangos sistemas iš įmonių, įskaitant Cisco, IBM ir Ivanti, pasinaudojant šių produktų trūkumais ir slepiant už įsilaužtų daiktų interneto įrenginių.