O FBI desmantelou com sucesso uma grande botnet que afetou mais de 1,2 milhão de dispositivos IoT em todo o mundo, cerca de 10% dos quais estavam na Alemanha. A botnet, chamada Raptor Train, foi derrubada pelo Departamento de Justiça dos EUA após uma decisão judicial. A ação tomada aqui foi cortar o tráfego IP para os servidores de carga útil, infraestrutura e servidores de comando e controle (C2) da botnet. A botnet foi fechada após a aquisição de certas infraestruturas pelo FBI.
Em meados de 2023, Black Lotus Labs, uma divisão da Lumen Technologies, descobriu a botnet IoT e notificou a polícia . De acordo com relatórios do FBI, o Integrity Technology Group, uma empresa chinesa, foi responsável pela operação do botnet. Empresas líderes, incluindo a Microsoft e a CrowdStrike, vincularam a iniciativa ao coletivo de hackers Flax Typhoon, patrocinado pelo Estado chinês.
O Integrity Technology Group adquiriu mais de 260 mil roteadores, câmeras e pontos de acesso de rede (NAS) em todo o mundo em junho, incluindo cerca de 19 mil na Alemanha. Dispositivos de vários fabricantes conhecidos, como Asus, DrayTek, Hikvision e TP-Link, foram alvo da botnet. Os dispositivos comprometidos não foram possíveis devido a vulnerabilidades de dia zero, mas sim por falhas conhecidas que muitos fabricantes ainda estão corrigindo atualizações de segurança. Os dispositivos comprometidos eram controlados por infraestrutura sofisticada.
A operação da botnet tinha três camadas. O número de bots ativos variou porque o malware nas máquinas infectadas, denominado nível 1, estava limitado à memória e não sobreviveria a uma reinicialização. Normalmente, os dispositivos comprometidos faziam parte da botnet por aproximadamente 17 dias. Infectou cerca de 1,2 milhão de dispositivos em seus quatro anos de existência. Black Lotus Labs nomeou o malware usado no botnet como Nosedive. É baseado no famoso código Mirai e é compatível com arquiteturas de hardware ARM e x86.
O principal objetivo da botnet era atingir instituições dos EUA e de Taiwan nas áreas de educação, telecomunicações, governo e militares. Os servidores C2 que rodavam a botnet estavam parcialmente inacessíveis aos pesquisadores, mas apesar disso, eles notaram características avançadas que teriam indicado a possibilidade de ataques DDoS, mas nenhum ataque desse tipo foi verificado. Os investigadores acreditam que a botnet foi usada para realizar ataques contra sistemas de hardware e software de ponta de empresas como Cisco, IBM e Ivanti, aproveitando-se das fraquezas desses produtos e escondendo-se atrás de dispositivos IoT hackeados.