FBI đã phá hủy thành công một botnet lớn đã ảnh hưởng đến hơn 1,2 triệu thiết bị IoT trên toàn thế giới, khoảng 10% trong số đó là ở Đức. Botnet có tên Raptor Train đã bị Bộ Tư pháp Hoa Kỳ gỡ bỏ sau phán quyết của tòa án. Hành động được thực hiện ở đây là cắt lưu lượng IP đến các máy chủ tải trọng, cơ sở hạ tầng cũng như máy chủ chỉ huy và kiểm soát (C2) của botnet. Mạng botnet đã bị đóng sau khi FBI tiếp quản một số cơ sở hạ tầng nhất định.
Vào giữa năm 2023, Black Lotus Labs, một bộ phận của Lumen Technologies, đã phát hiện ra mạng botnet IoT và thông báo cho cảnh sát . Theo báo cáo của FBI, Tập đoàn Công nghệ Toàn vẹn, một công ty Trung Quốc chịu trách nhiệm vận hành mạng botnet. Các công ty hàng đầu bao gồm Microsoft và CrowdStrike đã liên kết sáng kiến này với tập thể hack Flax Typhoon do nhà nước Trung Quốc tài trợ.
Tập đoàn Công nghệ Integrity đã mua lại hơn 260.000 bộ định tuyến, camera và điểm truy cập mạng (NAS) trên toàn thế giới vào tháng 6, bao gồm khoảng 19.000 ở Đức. Các thiết bị của một số nhà sản xuất nổi tiếng như Asus, DrayTek, Hikvision và TP-Link đã trở thành mục tiêu của botnet. Các thiết bị bị xâm nhập không phải do lỗ hổng zero-day mà do lỗi đã biết đó nhiều nhà sản xuất vẫn đang vá lỗi bằng các bản cập nhật bảo mật. Các thiết bị bị xâm nhập được kiểm soát bởi cơ sở hạ tầng tinh vi.
Hoạt động của botnet có ba lớp. Số lượng bot hoạt động khác nhau vì phần mềm độc hại trên các máy bị nhiễm, được gọi là cấp 1, bị giới hạn trong bộ nhớ và sẽ không tồn tại khi khởi động lại. Thông thường, các thiết bị bị xâm nhập là một phần của mạng botnet trong khoảng 17 ngày. Nó đã lây nhiễm khoảng 1,2 triệu thiết bị trong 4 năm tồn tại. Black Lotus Labs đã đặt tên cho phần mềm độc hại được sử dụng trong mạng botnet là Nosedive. Nó dựa trên mã Mirai nổi tiếng và tương thích với kiến trúc phần cứng ARM và x86.
Mục tiêu chính của botnet này là nhắm vào các tổ chức của Hoa Kỳ và Đài Loan trong lĩnh vực giáo dục, viễn thông, chính phủ và quân đội. Các máy chủ C2 chạy botnet một phần không thể truy cập được đối với các nhà nghiên cứu, nhưng mặc dù vậy, họ nhận thấy các đặc điểm nâng cao có thể cho thấy khả năng xảy ra các cuộc tấn công DDoS, nhưng không có cuộc tấn công nào như vậy được xác minh. Các nhà điều tra tin rằng botnet này được sử dụng để thực hiện các cuộc tấn công nhằm vào hệ thống phần cứng và phần mềm cao cấp của các công ty bao gồm Cisco, IBM và Ivanti, lợi dụng điểm yếu trong các sản phẩm đó và ẩn sau các thiết bị IoT bị hack.