I ricercatori di cybersecurity hanno scoperto una botnet mai vista prima composta da una vasta gamma di dispositivi SOHO (Small Office/Home Office) e IoT (Internet of Things), presumibilmente gestita da un attore di minacce sponsorizzato dallo stato cinese chiamato Flax Typhoon (noto anche come Ethereal Panda o RedJuliett). La sofisticata botnet, denominata Raptor Train dai Black Lotus Labs di Lumen, sarebbe operativa almeno dal maggio 2020, raggiungendo un picco di 60.000 dispositivi compromessi attivamente nel giugno 2023.

Da quel momento, oltre 200.000 router SOHO, dispositivi NVR/DVR, server NAS e telecamere IP sono stati arruolati nella botnet Raptor Train, rendendola una delle più grandi botnet IoT sponsorizzate dallo stato cinese scoperte fino ad oggi. L'infrastruttura che alimenta la botnet ha intrappolato centinaia di migliaia di dispositivi sin dalla sua formazione, con una rete alimentata da un'architettura a tre livelli composta da dispositivi compromessi, server di sfruttamento, server di payload e server di comando e controllo (C2), nonché nodi di gestione centralizzati.

I dispositivi presi di mira includono router, telecamere IP, DVR e NAS di vari produttori come ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK e Zyxel. La maggior parte dei nodi di livello 1 si trova negli Stati Uniti, Taiwan, Vietnam, Brasile, Hong Kong e Turchia, con una durata media di vita di 17,44 giorni, indicando la capacità dell'attore di minacce di reinfettare i dispositivi a piacimento.

I nodi sono infettati da un impianto in-memory tracciato come Nosedive, una variante personalizzata della botnet Mirai, tramite server di payload di livello 2 appositamente configurati per questo scopo. Il binario ELF ha la capacità di eseguire comandi, caricare e scaricare file e montare attacchi DDoS. I nodi di livello 2, a loro volta, sono ruotati ogni circa 75 giorni e sono principalmente basati negli Stati Uniti, Singapore, Regno Unito, Giappone e Corea del Sud.

Almeno quattro diverse campagne

Almeno quattro diverse campagne sono state collegate alla botnet Raptor Train dal 2020, ciascuna distinta dai domini radice utilizzati e dai dispositivi presi di mira. La campagna Canary, che ha preso di mira pesantemente modem ActionTec PK5000, telecamere IP Hikvision, NVR Shenzhen TVT e router ASUS, è notevole per aver impiegato una catena di infezioni multilivello per scaricare uno script bash di primo livello, che si connette a un server di payload di livello 2 per recuperare Nosedive e uno script bash di secondo livello.

La recente operazione del Dipartimento di Giustizia degli Stati Uniti ha annunciato lo smantellamento della botnet Raptor Train come parte di un'operazione di contrasto autorizzata dal tribunale. La botnet era gestita da una società con sede a Pechino, nota come Integrity Technology Group. L'infrastruttura degli attaccanti è stata sequestrata per emettere comandi di disabilitazione al malware sui dispositivi infetti, nonostante i tentativi falliti degli attori di minacce di interferire con l'azione di rimedio tramite un attacco DDoS.