Un hombre de Oregon de 22 años fue arrestado bajo sospecha de operar «Bot de rapero», una botnet masiva utilizada para alimentar un servicio para lanzar ataques distribuidos de negación de servicio (DDoS) contra objetivos, incluidos un DDoS de marzo de 2025 que derribó Twitter/X fuera de línea. El Departamento de Justicia afirma al sospechoso y un co-conspirador no identificado alquiló la botnet a los extorsionistas en línea, y trató de mantenerse fuera del radar de la policía asegurando que su botnet nunca fue señalada en Krebsonsecurity. El panel de control para el rapero Bot Botnet saluda a los usuarios con el mensaje «Bienvenido al pozo de pelota, ahora con soporte de refrigerador», una aparente referencia a un puñado de refrigeradores habilitados para IoT que estaban esclavizados en su botnet DDOS. El 6 de agosto de 2025, los agentes federales arrestaron a Ethan J. Foltz de Springfield, Oregon. Con sospecha de operación de rapero Bot, una colección dispersa a nivel mundial de decenas de miles de dispositivos de Internet de las cosas pirateadas (IoT). La queja contra Foltz explica que los ataques generalmente registran más de dos terabits de datos basura por segundo (un terabit es un billón de datos de datos), que es un tráfico más que suficiente para causar serios problemas, excepto los objetivos mejor defendidos. El gobierno dice que el rapero Bot lanzó consistentemente ataques que fueron «cientos de veces mayores que la capacidad esperada de un servidor típico ubicado en un centro de datos», y que algunos de sus ataques más grandes excedieron seis terabits por segundo. De hecho, el rapero Bot fue responsable del ataque del 10 de marzo de 2025 que causó interrupciones intermitentes en Twitter/X. El gobierno dice que los clientes más lucrativos y frecuentes del rapero Bot participaron en extorsionar a los negocios en línea, incluidas numerosas operaciones de juego con sede en China. La denuncia penal fue escrita por Elliott Peterson, un investigador del Servicio de Investigación Criminal de Defensa (DCIS), la División de Investigación Criminal del Departamento de Defensa (DOD) de la Oficina General del Inspector General. La queja señala que el DCIS se involucró porque varias direcciones de Internet mantenidas por el DOD fueron el objetivo de los ataques de los raperos BOT. Peterson dijo que rastreó el rapero Bot a Foltz después de una citación a un ISP en Arizona que estaba alojando uno de los servidores de control de Botnet mostró que la cuenta fue pagada a través de PayPal. Más proceso legal a PayPal reveló la cuenta Gmail de Foltz y las direcciones IP previamente utilizadas. Una citación a Google mostró que el acusado buscó en los blogs de seguridad constantemente noticias sobre Rapper Bot y actualizaciones sobre Botnets de DDOS por alquiler competidores. Según la queja, después de tener una orden de allanamiento entregada en su residencia, el acusado admitió a construir y operar el rapero Bot, compartiendo las ganancias 50/50 con una persona que, según la persona, conocía solo por el hacker manejando «asesinatos». Foltz también compartió con los investigadores los troncos de sus chats de telegrama, en los que Foltz y los asesinos discutieron la mejor manera de mantenerse fuera del radar de los investigadores de la policía mientras sus competidores estaban siendo arrancados. Específicamente, los dos piratas informáticos conversaron alrededor de un ataque del 20 de mayo contra Krebsonsecurity.com que registró más de 6.3 terabitos de datos por segundo. El breve ataque fue notable porque en ese momento era el DDoS más grande que Google había mitigado (Krebsonsecurity se encuentra detrás de la protección de Project Shield, un servicio de defensa DDOS gratuito que Google proporciona a los sitios web que ofrecen noticias, derechos humanos y contenido relacionado con elecciones). El DDOS de mayo de 2025 fue lanzado por una botnet IoT llamada Aisuru, que descubrí que fue operado por un hombre de 21 años en Brasil llamado Kaike Southier Leite. Este individuo se conocía más comúnmente en línea como «Forky», y Forky me dijo que no tenía miedo de mí o de los investigadores federales estadounidenses. Sin embargo, la queja contra Foltz señala que Botnet de Forky parecía disminuir en tamaño y potencia de fuego al mismo tiempo que los números de infección del rapero Bot estaban en el alza. «Tanto Foltz como Slaykings fueron muy despectivos con las actividades de búsqueda de atención, el más extremo de las cuales, en su opinión, fue lanzar ataques DDoS contra el sitio web del destacado periodista de seguridad cibernética Brian Krebs», escribió Peterson en la denuncia penal. «Ya ves, ellos se pondrán [expletive]», Escribió Slaykings en respuesta a los comentarios de Foltz sobre Forky y Aisuru trayendo demasiado calor a sí mismos.» Prob porque [redacted] Golpea a Krebs «, escribió Foltz en respuesta.» Ir en contra de Krebs no es un buen movimiento «, los slaykings coincidieron.» No se trata de ser un [expletive] O asustado, solo obtienes muchos problemas por cero dinero. Infantil, pero bueno. Déjalos morir «. «Sí, es bueno, morirán», respondió Foltz. En un tamaño de «Ricitos de oro», asegurando que «el número de dispositivos ofreciera ataques poderosos sin dejar de ser manejables para controlar y, con la esperanza de Foltz y sus parejas, lo suficientemente pequeño como para no ser detectado». La queja establece que varios días después, Foltz y Slaykings volvieron a discutir lo que esperaban que sucedieran a su grupo rival, con los slaykings afirmando: “Krebs es muy venganza. No se detendrá hasta que estén [expletive] al hueso. » «Sorprendidos que les queda bots», respondió Foltz. No porque sea aterrador o algo así, solo porque no se rindirá hasta que estés [expletive] [expletive]. Lo demostró con Mirai y muchos otros casos «.
[Unknown expletives aside, that may well be the highest compliment I’ve ever been paid by a cybercriminal. I might even have part of that quote made into a t-shirt or mug or something. It’s also nice that they didn’t let any of their customers attack my site — if even only out of a paranoid sense of self-preservation.]
Foltz admitió haber limpiado el usuario y los registros de ataque para la botnet aproximadamente una vez por semana, por lo que los investigadores no pudieron contar el número total de ataques, clientes y objetivos de esta vasta máquina criminal. Pero los datos que todavía estaban disponibles mostraron que desde abril de 2025 hasta principios de agosto, el rapero Bot realizó más de 370,000 ataques, apuntando a 18,000 víctimas únicas en 1,000 redes, con la mayor parte de las víctimas que residen en China, Japón, Estados Unidos, Irlanda y Hong Kong (en ese orden). Según el gobierno, el rapero Bot toma prestado gran parte de su código de FBOT, una cepa de malware DDOS también conocida como Satori. En 2020, las autoridades en Irlanda del Norte cobraron a un hombre de 20 años llamado Aaron «Vamp» Sterritt de operar FBOT con un co-conspirador. Los fiscales estadounidenses todavía buscan la extradición de Sterritt a los Estados Unidos. FBOT es en sí mismo una variación de la botnet Mirai IoT que ha devastado Internet con ataques DDoS desde que su código fuente se filtró en 2016. La queja dice que Foltz y su socio no permitieron que la mayoría de los clientes lanzaran ataques que tenían más de 60 segundos de duración, otra forma en que intentaron mantener la atención pública al botón de botón al mínimo. Sin embargo, el gobierno dice que los propietarios también tuvieron arreglos especiales con ciertos clientes que permitieron ataques mucho más grandes y más largos. El acusado y su presunto compañero se apagaron a esta publicación de blog sobre las consecuencias de uno de sus ataques de botnet. La mayoría de las personas que nunca han estado en el extremo receptor de un ataque DDoS de monstruos no tienen idea del costo y la interrupción que tales asedios pueden traer. El Peterson del DCIS escribió que pudo probar las capacidades de Botnet mientras entrevistaba a Foltz, y eso descubrió que «si este hubiera sido un servidor sobre el que estaba ejecutando un sitio web, utilizando servicios como equilibradores de carga, y pagar tanto los datos salientes y entrantes, a las tarifas promedio estimadas de la industria (2+ Terabits por segundo veces 30 segundos) podría haber costado el víctima de $ 500 a $ 500 a $ 10,000», «,», 2+ Terabits (2+ Terabits por segundo veces 30 segundos) podría haber costado el víctima de $ 500 a $ 500 a $ 10,000 «,», «, 2+ Terabits (2+ Terabits por segundo veces 30 segundos) podría haber costado el víctima de $ 500 a $ 500 a $ 10,000″. » «Los ataques DDoS a esta escala a menudo exponen a las víctimas al impacto financiero devastador, y una potencial alternativa, las soluciones de ingeniería de red que mitigan los ataques esperados, como el sobreprovisión, es decir, el aumento de la capacidad potencial de Internet o las tecnologías de defensa de DDoS, pueden ser prohibitivamente costosas», continúa la queja. «Esta realidad de ‘rock y lugar difícil’ para muchas víctimas puede dejarlas muy expuestas a las demandas de extorsión: ‘Pagar X dólares y los ataques DDoS se detienen'». Los registros de chat de Telegram muestran que el día antes de que Peterson y otros agentes federales asaltaran la residencia de Foltz, supuestamente le dijo a su compañero que había encontrado 32,000 nuevos dispositivos que eran vulnerables a una exploit previamente desconocida. Foltz y Slaykings discuten el descubrimiento de una vulnerabilidad de IoT que les dará 32,000 nuevos dispositivos. Poco antes de que la orden de allanamiento fuera entregada en su residencia, Foltz supuestamente le dijo a su compañero que «una vez más tenemos la botnet más grande de la comunidad». Al día siguiente, Foltz le dijo a su compañero que iba a ser un gran día, el más grande hasta ahora en términos de ingresos generados por el rapero Bot. «Me senté al lado de Foltz mientras los mensajes llegaron: promesas de $ 800, luego $ 1,000, los ingresos se producen a medida que avanzaba el día», escribió Peterson. “Al notar un cambio en el comportamiento de Foltz y preocupado de que Foltz estuviera haciendo cambios en la configuración de Botnet en tiempo real, los Slaykings le preguntaron ‘¿Qué pasa?’ Foltz escribió hábilmente algunas respuestas rápidas. El caso está siendo procesado por el Fiscal Asistente de los Estados Unidos, Adam Alexander, en el distrito de Alaska (al menos algunos de los dispositivos que se encuentran infectados con Bot Rapper estaban ubicados allí, y es donde está estacionado Peterson). Foltz enfrenta un cargo de ayudar e instalar intrusiones informáticas. Si es declarado culpable, enfrenta una multa máxima de 10 años de prisión, aunque es poco probable que un juez federal se otorgue cerca de ese tipo de sentencia por una condena por primera vez.