ФБР успішно демонтувало великий ботнет, який вплинув на понад 1,2 мільйона пристроїв Інтернету речей у всьому світі, близько 10% з яких були в Німеччині. Ботнет під назвою Raptor Train було закрито Міністерством юстиції США після постанови суду. Заходи, вжиті тут, полягали в тому, щоб відрізати IP-трафік до серверів корисного навантаження ботнету, інфраструктури та серверів командування та контролю (C2). Ботнет було закрито після захоплення певної інфраструктури ФБР.
У середині 2023 року Black Lotus Labs, підрозділ Lumen Technologies, виявив ботнет IoT і повідомив поліцію . Згідно зі звітами ФБР, за роботу ботнету відповідала китайська компанія Integrity Technology Group. Провідні компанії, включаючи Microsoft і CrowdStrike, пов’язали цю ініціативу з китайською державною хакерською групою Flax Typhoon.
Integrity Technology Group у червні придбала понад 260 000 маршрутизаторів, камер і точок доступу до мережі (NAS) у всьому світі, у тому числі близько 19 000 у Німеччині. Цілями ботнету стали пристрої ряду відомих виробників, таких як Asus, DrayTek, Hikvision і TP-Link. Зламані пристрої стали можливими не завдяки вразливостям нульового дня, а скоріше через відомі недоліки, які багато виробників все ще встановлюють оновлення безпеки. Зламані пристрої контролювалися складною інфраструктурою.
Робота ботнету мала три рівні. Кількість активних ботів різна, тому що зловмисне програмне забезпечення на інфікованих машинах, яке називається рівнем 1, було обмежене пам’яттю та не виживало після перезавантаження. Як правило, скомпрометовані пристрої були частиною ботнету приблизно 17 днів. За чотири роки існування він заразив близько 1,2 мільйона пристроїв. Black Lotus Labs назвала шкідливе програмне забезпечення, яке використовується в ботнеті, Nosedive. Він заснований на відомому коді Mirai і сумісний з апаратними архітектурами ARM і x86.
Основна мета ботнету полягала в тому, щоб націлити на освітні, телекомунікаційні, державні та військові установи США та Тайваню. Сервери C2, які запускали ботнет, були частково недоступні для дослідників, але, незважаючи на це, вони помітили розширені характеристики, які б вказували на можливість DDoS-атак, але такі атаки не були перевірені. Слідчі вважають, що ботнет використовувався для здійснення атак на апаратні та програмні системи високого класу від компаній, включаючи Cisco, IBM і Ivanti, використовуючи слабкі сторони цих продуктів і ховаючись за зламаними пристроями IoT.