FBI ประสบความสำเร็จในการรื้อ botnet ขนาดใหญ่ที่ส่งผลกระทบต่ออุปกรณ์ IoT มากกว่า 1.2 ล้านเครื่องทั่วโลก ประมาณ 10% อยู่ในเยอรมนี บ็อตเน็ตที่เรียกว่า Raptor Train ถูกกระทรวงยุติธรรมสหรัฐฯ ถอดออกหลังจาก คำตัดสินของศาล การดำเนินการที่นี่คือการตัดการรับส่งข้อมูล IP ไปยังเซิร์ฟเวอร์เพย์โหลด โครงสร้างพื้นฐาน และเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ของบอตเน็ต บ็อตเน็ตถูกปิดหลังจากการครอบครองโครงสร้างพื้นฐานบางอย่างโดย FBI
ในช่วงกลางปี 2023 Black Lotus Labs ซึ่งเป็นแผนกหนึ่งของ Lumen Technologies ค้นพบบ็อตเน็ต IoT และแจ้งให้ตำรวจทราบ . ตามรายงานของ FBI Integrity Technology Group บริษัทจีนมีหน้าที่รับผิดชอบในการใช้งานบอตเน็ต บริษัทชั้นนำรวมถึง Microsoft และ CrowdStrike ได้เชื่อมโยงความคิดริเริ่มนี้กับกลุ่มแฮ็ก Flax Typhoon ที่รัฐสนับสนุนโดยจีน
Integrity Technology Group เข้าซื้อเราเตอร์ กล้อง และจุดเชื่อมต่อเครือข่าย (NAS) มากกว่า 260,000 เครื่องทั่วโลกในเดือนมิถุนายน รวมถึงประมาณ 19,000 แห่งในเยอรมนี อุปกรณ์จากผู้ผลิตที่มีชื่อเสียงหลายราย เช่น Asus, DrayTek, Hikvision และ TP-Link ตกเป็นเป้าหมายของบ็อตเน็ต อุปกรณ์ที่ถูกบุกรุกไม่ได้เกิดขึ้นจากช่องโหว่แบบ Zero-day แต่เกิดจาก ข้อบกพร่องที่ทราบ ที่ ผู้ผลิตหลายรายยังคงอัปเดตความปลอดภัยอยู่ อุปกรณ์ที่ถูกบุกรุกถูกควบคุมโดยโครงสร้างพื้นฐานที่ซับซ้อน
การทำงานของบอตเน็ตมีสามชั้น จำนวนบอทที่ใช้งานอยู่นั้นแตกต่างกันไปเนื่องจากมัลแวร์บนเครื่องที่ติดไวรัสซึ่งเรียกว่าระดับ 1 นั้นถูกจำกัดไว้ที่หน่วยความจำและไม่สามารถรีบูตได้ โดยปกติแล้ว อุปกรณ์ที่ถูกบุกรุกจะเป็นส่วนหนึ่งของบ็อตเน็ตเป็นเวลาประมาณ 17 วัน มันติดไวรัสอุปกรณ์ประมาณ 1.2 ล้านเครื่องในช่วงสี่ปีที่มีอยู่ Black Lotus Labs ได้ตั้งชื่อมัลแวร์ที่ใช้ในบ็อตเน็ตว่า Nosedive มันใช้โค้ด Mirai ที่มีชื่อเสียง และเข้ากันได้กับสถาปัตยกรรมฮาร์ดแวร์ ARM และ x86
เป้าหมายหลักของบอทเน็ตคือการกำหนดเป้าหมายสถาบันการศึกษา โทรคมนาคม รัฐบาล และการทหารของสหรัฐอเมริกาและไต้หวัน เซิร์ฟเวอร์ C2 ที่ใช้บ็อตเน็ตนั้นไม่สามารถเข้าถึงได้บางส่วนสำหรับนักวิจัย แต่ถึงอย่างไรก็ตาม พวกเขาสังเกตเห็นคุณลักษณะขั้นสูงที่อาจบ่งบอกถึงความเป็นไปได้ของการโจมตี DDoS แต่ไม่มีการตรวจสอบการโจมตีดังกล่าว เจ้าหน้าที่สืบสวนเชื่อว่าบอตเน็ตถูกใช้เพื่อโจมตีระบบฮาร์ดแวร์และซอฟต์แวร์ระดับไฮเอนด์จากบริษัทต่างๆ เช่น Cisco, IBM และ Ivanti โดยใช้ประโยชน์จากจุดอ่อนในผลิตภัณฑ์เหล่านั้นและซ่อนอยู่หลังอุปกรณ์ IoT ที่ถูกแฮ็ก