FBI lyckades demontera ett stort botnät som påverkade mer än 1,2 miljoner IoT-enheter världen över, varav cirka 10 % var i Tyskland. Botnätet, kallat Raptor Train, togs ner av det amerikanska justitiedepartementet efter ett domstolsbeslut. Åtgärden som vidtogs här var att stänga av IP-trafiken till botnätets nyttolastservrar, infrastruktur och kommando- och kontrollservrar (C2). Botnätet stängdes efter övertagandet av vissa infrastrukturer av FBI.
I mitten av 2023 upptäckte Black Lotus Labs, en division av Lumen Technologies, IoT-botnätet och meddelade polisen . Enligt FBI-rapporter var Integrity Technology Group, ett kinesiskt företag ansvarigt för driften av botnätet. Ledande företag inklusive Microsoft och CrowdStrike har kopplat initiativet till det kinesiska statligt sponsrade hackningskollektivet Flax Typhoon.
Integrity Technology Group förvärvade mer än 260 000 routrar, kameror och nätverksåtkomstpunkter (NAS) över hela världen i juni, inklusive cirka 19 000 i Tyskland. Enheter från ett antal välkända tillverkare, såsom Asus, DrayTek, Hikvision och TP-Link, riktades mot botnätet. De komprometterade enheterna möjliggjordes inte av nolldagarssårbarheter, utan snarare av kända brister som många tillverkare patchar fortfarande med säkerhetsuppdateringar. De komprometterade enheterna kontrollerades av sofistikerad infrastruktur.
Driften av botnätet hade tre lager. Antalet aktiva botar varierade eftersom skadlig programvara på infekterade maskiner, kallad nivå 1, var begränsad till minnet och inte skulle överleva en omstart. Vanligtvis var komprometterade enheter en del av botnätet i cirka 17 dagar. Den infekterade omkring 1,2 miljoner enheter under sina fyra år av existens. Black Lotus Labs har namngett skadlig programvara som används i botnätet som Nosedive. Den är baserad på den berömda Mirai-koden och är kompatibel med ARM- och x86-hårdvaruarkitekturer.
Huvudmålet med botnätet var att rikta in sig på amerikanska och taiwanesiska institutioner inom utbildning, telekommunikation, regering och militär. C2-servrarna som körde botnätet var delvis otillgängliga för forskarna, men trots detta märkte de avancerade egenskaper som skulle ha indikerat möjligheten för DDoS-attacker, men inga sådana attacker verifierades. Utredarna tror att botnätet användes för att utföra attacker mot avancerade hårdvaru- och mjukvarusystem från företag som Cisco, IBM och Ivanti, och utnyttjade svagheter i dessa produkter och gömde sig bakom hackade IoT-enheter.