Lumen Technologies’in tehdit istihbarat birimi Black Lotus Labs, Raptor Train adlı dev bir IoT botnet’ini ortaya çıkardı. 200.000’den fazla ele geçirilmiş cihazdan oluşan bu ağın, Çin devlet destekli tehdit grubu Flax Typhoon tarafından yönetildiği düşünülüyor.
2023’te başlayan araştırma, yönlendiriciler, DVR/NVR cihazları, NAS sunucuları ve IP kameraları içeren geniş bir cihaz ağına işaret ediyor. Haziran 2023’te, botnet’in 60.000’den fazla aktif cihazı etkilediği tespit edildi. Botnet’in kuruluşundan bu yana yüzbinlerce cihazın ele geçirilmiş olabileceği tahmin ediliyor.
Botnet, dağıtılmış komuta-kontrol sunucuları ve “Sparrow” adlı bir yönetim platformu üzerinden kontrol ediliyor. Bu sistem, tehdit aktörlerine büyük çapta cihaz yönetimi ve olası Dağıtılmış Hizmet Reddi (DDoS) saldırıları yapma imkanı tanıyor. Henüz DDoS saldırısı gözlemlenmemiş olsa da, bu yeteneğin ileride kullanılabileceği düşünülüyor.
Botnet’in temel implantı “Nosedive,” Mirai tabanlı bir varyasyon olup tespit edilmesi zor bir yapıya sahip. Araştırmacılar, bu botnet’in ABD ve Tayvan’daki askeri, hükümet ve savunma sektörlerinde faaliyet gösterdiğini belirtiyor.
Bu bulguların ardından Lumen Technologies, botnet’in altyapısına erişimi engelledi ve tehdit istihbaratını ABD hükümetiyle paylaştı.