De FBI heeft met succes een groot botnet ontmanteld dat wereldwijd meer dan 1,2 miljoen IoT-apparaten trof, waarvan ongeveer 10% zich in Duitsland bevond. Het botnet, Raptor Train genaamd, werd door het Amerikaanse ministerie van Justitie offline gehaald na een rechterlijke uitspraak. De actie die hier werd ondernomen, was het afsluiten van het IP-verkeer naar de payload-servers, de infrastructuur en de command-and-control-servers (C2) van het botnet. Het botnet werd gesloten na de overname van bepaalde infrastructuren door de FBI.
Medio 2023 ontdekte Black Lotus Labs, een divisie van Lumen Technologies, het IoT-botnet en waarschuwde de politie . Volgens FBI-rapporten was Integrity Technology Group, een Chinees bedrijf, verantwoordelijk voor de exploitatie van het botnet. Toonaangevende bedrijven, waaronder Microsoft en CrowdStrike, hebben het initiatief gekoppeld aan het door de Chinese staat gesponsorde hackcollectief Flax Typhoon.
Integrity Technology Group heeft in juni wereldwijd ruim 260.000 routers, camera's en netwerktoegangspunten (NAS) verworven, waaronder ongeveer 19.000 in Duitsland. Apparaten van een aantal bekende fabrikanten, zoals Asus, DrayTek, Hikvision en TP-Link, waren het doelwit van het botnet. De gecompromitteerde apparaten werden niet mogelijk gemaakt door zero-day-kwetsbaarheden, maar eerder door bekende fouten die veel fabrikanten patchen nog steeds met beveiligingsupdates. De gecompromitteerde apparaten werden beheerd door een geavanceerde infrastructuur.
De werking van het botnet bestond uit drie lagen. Het aantal actieve bots varieerde omdat de malware op geïnfecteerde machines, niveau 1 genoemd, beperkt was tot het geheugen en een herstart niet zou overleven. Gecompromitteerde apparaten maakten doorgaans ongeveer zeventien dagen deel uit van het botnet. In de vier jaar van zijn bestaan heeft het virus ongeveer 1,2 miljoen apparaten geïnfecteerd. Black Lotus Labs heeft de malware die in het botnet wordt gebruikt, Nosedive genoemd. Het is gebaseerd op de beroemde Mirai-code en is compatibel met ARM- en x86-hardware-architecturen.
Het belangrijkste doel van het botnet was om Amerikaanse en Taiwanese instellingen in het onderwijs, de telecommunicatie, de overheid en het leger aan te vallen. De C2-servers waarop het botnet draaide, waren gedeeltelijk ontoegankelijk voor de onderzoekers, maar desondanks merkten ze geavanceerde kenmerken op die op de mogelijkheid van DDoS-aanvallen zouden hebben gewezen, maar dergelijke aanvallen zijn niet geverifieerd. Onderzoekers denken dat het botnet werd gebruikt om aanvallen uit te voeren op geavanceerde hardware- en softwaresystemen van bedrijven als Cisco, IBM en Ivanti, waarbij gebruik werd gemaakt van zwakke punten in die producten en zich verschuilde achter gehackte IoT-apparaten.