FBI klarte å demontere et stort botnet som berørte mer enn 1,2 millioner IoT-enheter over hele verden, hvorav rundt 10 % var i Tyskland. Botnettet, kalt Raptor Train, ble tatt ned av det amerikanske justisdepartementet etter en rettsavgjørelse. Handlingen som ble tatt her var å kutte av IP-trafikk til botnettets nyttelastservere, infrastruktur og kommando- og kontrollservere (C2). Botnettet ble stengt etter overtakelsen av visse infrastrukturer av FBI.
I midten av 2023 oppdaget Black Lotus Labs, en avdeling av Lumen Technologies, IoT-botnettet og varslet politiet . I følge FBI-rapporter var Integrity Technology Group, et kinesisk selskap ansvarlig for driften av botnettet. Ledende selskaper inkludert Microsoft og CrowdStrike har knyttet initiativet til det kinesiske statsstøttede hackerkollektivet Flax Typhoon.
Integrity Technology Group kjøpte mer enn 260 000 rutere, kameraer og nettverkstilgangspunkter (NAS) over hele verden i juni, inkludert rundt 19 000 i Tyskland. Enheter fra en rekke kjente produsenter, som Asus, DrayTek, Hikvision og TP-Link, ble målrettet av botnettet. De kompromitterte enhetene ble ikke muliggjort av nulldagers sårbarheter, men snarere av kjente feil som mange produsenter lapper fortsatt med sikkerhetsoppdateringer. De kompromitterte enhetene ble kontrollert av sofistikert infrastruktur.
Operasjonen av botnettet hadde tre lag. Antall aktive roboter varierte fordi skadelig programvare på infiserte maskiner, kalt nivå 1, var begrenset til minnet og ville ikke overleve en omstart. Vanligvis var kompromitterte enheter en del av botnettet i omtrent 17 dager. Den infiserte rundt 1,2 millioner enheter i løpet av de fire årene de har eksistert. Black Lotus Labs har kalt skadevare som brukes i botnettet som Nosedive. Den er basert på den berømte Mirai-koden og er kompatibel med ARM- og x86-maskinvarearkitekturer.
Hovedmålet med botnettet var å målrette amerikanske og taiwanske institusjoner innen utdanning, telekommunikasjon, myndigheter og militæret. C2-serverne som kjørte botnettet var delvis utilgjengelige for forskerne, men til tross for dette la de merke til avanserte egenskaper som ville ha indikert muligheten for DDoS-angrep, men ingen slike angrep ble verifisert. Etterforskere mener botnettet ble brukt til å utføre angrep mot avanserte maskinvare- og programvaresystemer fra selskaper inkludert Cisco, IBM og Ivanti, og utnyttet svakhetene i disse produktene og gjemt seg bak hackede IoT-enheter.