FBI a demontat cu succes o [botnet] mare (https://en.wikipedia.org/wiki/Botnet) care a afectat peste 1,2 milioane de dispozitive IoT din întreaga lume, dintre care aproximativ 10% se aflau în Germania. Rețeaua botnet, numită Raptor Train, a fost eliminată de Departamentul de Justiție al SUA după o hotărâre judecătorească. Acțiunea luată aici a fost de a întrerupe traficul IP către serverele de încărcare utilă, infrastructura și serverele de comandă și control (C2) ale rețelei bot. Botnet-ul a fost închis în urma preluării unor infrastructuri de către FBI.
La mijlocul anului 2023, Black Lotus Labs, o divizie a Lumen Technologies, a descoperit botnetul IoT și a anunțat poliția . Potrivit rapoartelor FBI, Integrity Technology Group, o companie chineză a fost responsabilă de operarea rețelei bot. Companii de top, inclusiv Microsoft și CrowdStrike, au legat inițiativa de colectivul chinez de hacking, sponsorizat de stat, Flax Typhoon.
Integrity Technology Group a achiziționat peste 260.000 de routere, camere și puncte de acces la rețea (NAS) în întreaga lume în iunie, inclusiv aproximativ 19.000 în Germania. Dispozitivele unui număr de producători cunoscuți, cum ar fi Asus, DrayTek, Hikvision și TP-Link, au fost vizate de botnet. Dispozitivele compromise nu au fost posibile de vulnerabilități zero-day, ci mai degrabă de defecte cunoscute care mulți producători încă pun patch-uri cu actualizări de securitate. Dispozitivele compromise au fost controlate de o infrastructură sofisticată.
Funcționarea rețelei bot a avut trei straturi. Numărul de roboți activi a variat deoarece malware-ul de pe mașinile infectate, numit nivelul 1, era limitat la memorie și nu ar supraviețui unei reporniri. De obicei, dispozitivele compromise au făcut parte din rețeaua bot timp de aproximativ 17 zile. A infectat aproximativ 1,2 milioane de dispozitive în cei patru ani de existență. Black Lotus Labs a numit malware-ul folosit în botnet ca Nosedive. Se bazează pe faimosul cod Mirai și este compatibil cu arhitecturile hardware ARM și x86.
Scopul principal al rețelei bot a fost să vizeze instituțiile din SUA și Taiwan din educație, telecomunicații, guvern și armată. Serverele C2 care rulau botnet-ul erau parțial inaccesibile cercetătorilor, dar, în ciuda acestui fapt, aceștia au observat caracteristici avansate care ar fi indicat posibilitatea unor atacuri DDoS, dar nu au fost verificate astfel de atacuri. Anchetatorii cred că rețeaua botnet a fost folosită pentru a desfășura atacuri împotriva sistemelor hardware și software de ultimă generație de la companii precum Cisco, IBM și Ivanti, profitând de punctele slabe ale acestor produse și ascunzându-se în spatele dispozitivelor IoT piratate.