FBI pomyślnie rozwiązało duży botnet, który miał wpływ na ponad 1,2 miliona urządzeń IoT na całym świecie, z czego około 10% znajdowało się w Niemczech. Botnet o nazwie Raptor Train został usunięty przez Departament Sprawiedliwości Stanów Zjednoczonych po orzeczeniu sądu. Podjęte w tym przypadku działanie polegało na odcięciu ruchu IP do serwerów ładunku, infrastruktury oraz serwerów dowodzenia i kontroli (C2) botnetu. Botnet został zamknięty po przejęciu niektórych infrastruktur przez FBI.
W połowie 2023 roku firma Black Lotus Labs, oddział Lumen Technologies, odkryła botnet IoT i powiadomiła policję . Według raportów FBI za obsługę botnetu odpowiedzialna była chińska firma Integrity Technology Group. Wiodące firmy, w tym Microsoft i CrowdStrike, powiązały tę inicjatywę ze sponsorowanym przez chińskie państwo kolektywem hakerskim Flax Typhoon.
W czerwcu Integrity Technology Group nabyła na całym świecie ponad 260 000 routerów, kamer i punktów dostępu do sieci (NAS), w tym około 19 000 w Niemczech. Celem botnetu były urządzenia wielu znanych producentów, takich jak Asus, DrayTek, Hikvision i TP-Link. Zaatakowanie urządzeń nie było możliwe dzięki lukom typu zero-day, ale raczej dzięki znanym wadom, które wielu producentów wciąż wprowadza aktualizacje zabezpieczeń. Zaatakowane urządzenia były kontrolowane przez zaawansowaną infrastrukturę.
Działanie botnetu miało trzy warstwy. Liczba aktywnych botów była różna, ponieważ szkodliwe oprogramowanie na zainfekowanych komputerach, zwane poziomem 1, ograniczało się do pamięci i nie przetrwało ponownego uruchomienia. Zazwyczaj zaatakowane urządzenia były częścią botnetu przez około 17 dni. W ciągu czterech lat swojego istnienia zainfekował około 1,2 miliona urządzeń. Black Lotus Labs nazwało złośliwe oprogramowanie wykorzystywane w botnecie Nosedive. Opiera się na słynnym kodzie Mirai i jest kompatybilny z architekturami sprzętowymi ARM i x86.
Głównym celem botnetu było atakowanie instytucji amerykańskich i tajwańskich z sektora edukacji, telekomunikacji, rządu i wojska. Serwery C2, na których działał botnet, były częściowo niedostępne dla badaczy, ale mimo to zauważyli zaawansowane cechy, które wskazywałyby na możliwość ataków DDoS, jednak żaden taki atak nie został zweryfikowany. Śledczy uważają, że botnet był wykorzystywany do przeprowadzania ataków na wysokiej klasy sprzęt i systemy oprogramowania takich firm, jak Cisco, IBM i Ivanti, wykorzystując słabości tych produktów i ukrywając się za zhakowanymi urządzeniami IoT.