Raziskovalci so odkrili velik, kitajski, državno sponzoriran IoT botnet, imenovan Raptor Train, ki obsega več kot 60.000 kompromitiranih SOHO in IoT naprav, ki je aktiven od leta 2020 in je bil uporabljen za izvajanje različnih kibernetskih napadov.
Operaterji botneta Raptor Train s sedežem na Kitajskem uporabljajo robusten nadzorni sistem za upravljanje velike mreže okuženih naprav, ki cilja na različne sektorje v ZDA in Tajvanu za potencialno izkoriščanje in bodoče DDoS napade.
Raptor Train botnet je sestavljen iz treh stopenj: T1 boti, T2 C2 in T3 upravljalni vozli. Nosedive vsadki, ki so nameščeni iz T2 strežnikov za pošiljanje programskih paketov, nadzorujejo T1 bote za različne naloge, vključno z DDoS napadi.
Nosedive, spominsko rezidenčna zlonamerna programska oprema, uporablja anti-forenzične tehnike za izmikanje pred odkrivanjem, ki okuži naprave v več fazah, kompromitira SOHO/IoT naprave in uporablja strežnike za izkoriščanje za dostavo programskih paketov. Stopnjevane C2 in upravljalne vozli organizirajo napad, kar otežuje odkrivanje in preiskavo.
Napadalci izkoriščajo različne kompromitirane naprave, vključno z modemi, usmerjevalniki, kamerami in NAS napravami, s pomočjo znanih in neznanih ranljivosti za ustvarjanje mreže kompromitiranih vozlišč.
Ogromno število ranljivih naprav na spletu omogoča napadalcem redno izkoriščanje novih naprav brez potrebe po mehanizmih za vztrajnost, saj imajo kompromitirane naprave kratko življenjsko dobo, kar jim omogoča vzdrževanje velikega aktivnega vozlišča za njihove operacije.
T2 strežniki delujejo kot centralno vozlišče za C2, izkoriščanje in dostavo programskih paketov T1 vozliščem, gostijo različne strežnike s programskimi paketi, vključno z prvo in drugo stopnjo strežnikov, ki se uporabljajo za različne napade.
T3 upravljalni vozli botneta, ki vključujejo Sparrow in Condor, zagotavljajo celovit nadzorni vmesnik za operaterje botneta, ki jim omogoča oddaljeno upravljanje T2 vozlišč, izvajanje ukazov, generiranje in testiranje izkoriščanj ter zbiranje podatkov o kompromitiranih napravah.
Raptor Train botnet se je razvijal v obdobju 4 let s 4 kampanjami (Crossbill, Finch, Canary, Oriole), pri čemer je Crossbill (maj 2020-april 2022) uporabljal vsadek na osnovi Mirai (Nosedive) z eno domeno C2, ki se je kasneje premaknila na kodirane poddomene.
Finch kampanja botneta je opazila znatno povečanje okuženih naprav (10.000 na 60.000) ter kompleksnosti med fazo Canary (maj-avgust 2023), ki je ciljala na večstopenjske droppere, spominsko vztrajnost in povečanje števila T2 C2 strežnikov.
Kampanja Oriole izkorišča VNPT usmerjevalnike, AXIS kamere in QNAP/Zyxel/Fujitsu/Synology NAS naprave, kjer Raptor Train vzdržuje 30.000 kompromitiranih naprav v T1.
Cisco in Cloudflare sta identificirala C2 domeno w8510.com, ki jo uporablja botnet Raptor Train, kar nakazuje na stalno razvijanje in nadgrajevanje TTP-jev botneta.
Black Lotus Labs pripisuje botnet Raptor Train kitajski grožnji aktorju Flax Typhoon na podlagi operacijskih vzorcev, ciljev in uporabe jezika.
Operaterji botneta predvsem ciljajo na sektorje, ki so v skladu s kitajskimi interesi, kot so vojaški, vladni in IT sektorji v ZDA in Tajvanu, med delovnimi urami na Kitajskem in izkoriščajo ranljivosti, kot je CVE-2024-21887.