FBI je uspešno odstranil velik botnet, ki je prizadel več kot 1,2 milijona naprav IoT po vsem svetu, od tega približno 10 % v Nemčiji. Botnet, imenovan Raptor Train, je odstranilo ministrstvo za pravosodje ZDA po sodbi sodišča. Ukrep, ki je bil izveden tukaj, je bil prekiniti promet IP do strežnikov koristnega tovora botneta, infrastrukture ter strežnikov za ukaz in nadzor (C2). Botnet je bil zaprt po prevzemu nekaterih infrastruktur s strani FBI.
Sredi leta 2023 je Black Lotus Labs, oddelek Lumen Technologies, odkril IoT botnet in obvestil policijo . Po poročilih FBI, Integrity Technology Group, je bilo kitajsko podjetje odgovorno za upravljanje botneta. Vodilna podjetja, vključno z Microsoftom in CrowdStrikeom, so pobudo povezala s hekersko skupino Flax Typhoon, ki jo sponzorira kitajska država.
Skupina Integrity Technology Group je junija kupila več kot 260.000 usmerjevalnikov, kamer in omrežnih dostopnih točk (NAS) po vsem svetu, vključno s približno 19.000 v Nemčiji. Tarča botneta so bile naprave številnih znanih proizvajalcev, kot so Asus, DrayTek, Hikvision in TP-Link. Ogrožene naprave niso omogočile ranljivosti ničelnega dne, temveč znane napake, ki številni proizvajalci še vedno popravljajo varnostne posodobitve. Ogrožene naprave je nadzorovala sofisticirana infrastruktura.
Delovanje botneta je bilo triplastno. Število aktivnih botov je bilo različno, ker je bila zlonamerna programska oprema na okuženih računalnikih, imenovana raven 1, omejena na pomnilnik in ni preživela ponovnega zagona. Običajno so bile ogrožene naprave del botneta približno 17 dni. V štirih letih obstoja je okužil okoli 1,2 milijona naprav. Black Lotus Labs je zlonamerno programsko opremo, uporabljeno v botnetu, poimenoval Nosedive. Temelji na znameniti kodi Mirai in je združljiv s strojno arhitekturo ARM in x86.
Glavni cilj botneta je bil ciljati na ameriške in tajvanske ustanove v izobraževanju, telekomunikacijah, vladi in vojski. Strežniki C2, ki so poganjali botnet, so bili raziskovalcem delno nedostopni, vendar so kljub temu opazili napredne značilnosti, ki bi kazale na možnost DDoS napadov, vendar takšni napadi niso bili preverjeni. Preiskovalci verjamejo, da je bil botnet uporabljen za izvajanje napadov na vrhunske sisteme strojne in programske opreme podjetij, vključno s Cisco, IBM in Ivanti, pri čemer so izkoriščali slabosti teh izdelkov in se skrivali za vdrtimi napravami IoT.