Bộ Tư pháp truy tố thanh niên 22 tuổi điều hành mạng lưới botnet RapperBot

[Starlink]

Một thanh niên 22 tuổi đến từ tiểu bang Oregon, Hoa Kỳ đã bị buộc tội phát triển và giám sát một mạng botnet từ chối dịch vụ phân tán (DDoS) thuê có tên là RapperBot.

Bộ Tư pháp Hoa Kỳ (DoJ) cho biết Ethan Foltz đến từ Eugene, Oregon, đã được xác định là người quản trị mạng lưới này. Mạng botnet này đã được sử dụng để thực hiện các cuộc tấn công DDoS thuê quy mô lớn nhắm vào nạn nhân ở hơn 80 quốc gia kể từ ít nhất năm 2021.

Foltz đã bị buộc tội một tội danh hỗ trợ và tiếp tay cho các cuộc xâm nhập máy tính. Nếu bị kết án, anh ta phải đối mặt với mức án tối đa là 10 năm tù. Ngoài ra, các cơ quan thực thi pháp luật đã tiến hành khám xét nơi ở của Foltz vào ngày 6 tháng 8 năm 2025, tịch thu quyền kiểm soát hành chính đối với cơ sở hạ tầng botnet.

"RapperBot, còn được gọi là 'Eleven Eleven Botnet' và 'CowBot', là một Botnet chủ yếu xâm nhập các thiết bị như Đầu ghi hình kỹ thuật số (DVRS) hoặc bộ định tuyến Wi-Fi trên quy mô lớn bằng cách lây nhiễm các thiết bị đó bằng phần mềm độc hại chuyên dụng", Bộ Tư pháp Hoa Kỳ cho biết.

"Các máy khách của RapperBot sau đó sẽ ra lệnh cho các thiết bị nạn nhân bị nhiễm, buộc chúng phải gửi một lượng lớn lưu lượng 'từ chối dịch vụ phân tán' (DDoS) đến các máy tính và máy chủ nạn nhân khác nhau trên khắp thế giới."

Được lấy cảm hứng từ các botnet fBot (còn được gọi là Satori) và Mirai, RapperBot nổi tiếng với khả năng xâm nhập vào các thiết bị mục tiêu bằng các cuộc tấn công brute-force qua SSH hoặc Telnet và biến chúng thành một mạng độc hại có khả năng phát động các cuộc tấn công DDoS. Fortinet lần đầu tiên công khai ghi nhận sự việc vào tháng 8 năm 2022, với các chiến dịch ban đầu được phát hiện từ tháng 5 năm 2021.

Một báo cáo năm 2023 của Fortinet đã nêu chi tiết về việc botnet DDoS mở rộng sang lĩnh vực cryptojacking, lợi dụng tài nguyên tính toán của các thiết bị bị xâm nhập để khai thác Monero bất hợp pháp và tối đa hóa giá trị. Đầu năm nay, RapperBot cũng bị cáo buộc liên quan đến các cuộc tấn công DDoS nhắm vào DeepSeek và X.

Foltz và đồng phạm đã bị cáo buộc kiếm tiền từ RapperBot bằng cách cung cấp cho khách hàng trả phí quyền truy cập vào một botnet DDoS mạnh mẽ đã được sử dụng để thực hiện hơn 370.000 cuộc tấn công, nhắm vào 18.000 nạn nhân trên khắp Trung Quốc, Nhật Bản, Hoa Kỳ, Ireland và Hồng Kông từ tháng 4 năm 2025 đến đầu tháng 8.

Amazon Web Services (AWS), một trong nhiều công ty ủng hộ sáng kiến này, cho biết RapperBot đã lây nhiễm hơn 45.000 thiết bị trên 39 quốc gia và đã giúp xác định cơ sở hạ tầng chỉ huy và kiểm soát (C2) của RapperBot, đồng thời phân tích ngược mã độc IoT để lập bản đồ hoạt động của nó.

Các công tố viên cũng cáo buộc rằng mạng botnet này bao gồm khoảng 65.000 đến 95.000 thiết bị nạn nhân bị nhiễm để thực hiện các cuộc tấn công DDoS với lưu lượng từ hai đến ba Terabits mỗi giây (Tbps), với cuộc tấn công lớn nhất có thể vượt quá 6 Tbps. Hơn nữa, mạng botnet này được cho là đã được sử dụng để thực hiện các cuộc tấn công DDoS đòi tiền chuộc nhằm mục đích tống tiền nạn nhân.

Cuộc điều tra đã truy tìm nguồn gốc của mạng botnet này đến Foltz sau khi phát hiện ra các liên kết địa chỉ IP đến nhiều dịch vụ trực tuyến khác nhau mà bị cáo sử dụng, bao gồm PayPal, Gmail và nhà cung cấp dịch vụ internet. Foltz cũng được cho là đã tìm kiếm trên Google các tham chiếu đến "RapperBot" hoặc "Rapper Bot" hơn 100 lần.

Việc phá hoại RapperBot là một phần của Chiến dịch PowerOFF, một nỗ lực quốc tế đang diễn ra nhằm phá hủy cơ sở hạ tầng DDoS cho thuê tội phạm trên toàn thế giới.