一名22岁的俄勒冈州男子因涉嫌运营“ Rapper Bot ”而被捕。这是一个庞大的僵尸网络,用于为一项服务提供支持,该服务用于对目标发起分布式拒绝服务 (DDoS) 攻击——其中包括2025年3月导致Twitter/X下线的DDoS攻击。美国司法部声称,该嫌疑人及其一名身份不明的同谋将该僵尸网络出租给网络勒索者,并试图通过确保他们的僵尸网络从未指向KrebsOnSecurity来逃避执法部门的追踪。
Rapper Bot 僵尸网络的控制面板向用户显示“欢迎来到 Ball Pit,现在提供冰箱支持”的消息,这显然是指少数被其 DDoS 僵尸网络奴役的支持物联网的冰箱。
2025 年 8 月 6 日,联邦特工逮捕了俄勒冈州斯普林菲尔德的Ethan J. Foltz ,他涉嫌操作 Rapper Bot,这是一个分布在全球的数万个被黑客入侵的物联网 (IoT) 设备的集合。
针对福尔茨的起诉书解释称,这些攻击通常每秒产生超过两兆兆比特(1兆兆比特等于1万亿比特)的垃圾数据,这足以对除防御最严密的目标以外的所有目标造成严重问题。政府表示,Rapper Bot 持续发动的攻击“比数据中心典型服务器的预期容量大数百倍”,其中一些最大规模的攻击速度甚至超过每秒六兆兆比特。
事实上, 据报道,Rapper Bot 对 2025 年 3 月 10 日的攻击负有责任,该攻击导致 Twitter/X 间歇性中断。政府表示,Rapper Bot 最赚钱、最常光顾的客户参与了对在线企业的敲诈勒索,其中包括众多位于中国的赌博机构。
这份刑事起诉书由国防部监察长办公室刑事调查部门国防刑事调查局 (DCIS) 的调查员埃利奥特·彼得森 ( Elliott Peterson ) 撰写。起诉书指出,DCIS 之所以介入,是因为国防部维护的几个互联网地址成为了 Rapper Bot 攻击的目标。
彼得森表示,他追踪 Rapper Bot 到福尔茨的线索是在亚利桑那州一家托管该僵尸网络控制服务器的互联网服务提供商收到传票后。传票显示,该账户是通过PayPal支付的。随后,对 PayPal 的进一步法律程序揭露了福尔茨的Gmail账户和之前使用的 IP 地址。对谷歌的传票显示,被告不断在安全博客上搜索有关 Rapper Bot 的新闻,以及竞争对手 DDoS 雇佣僵尸网络的更新信息。
根据起诉书,在警方对其住所发出搜查令后,被告承认自己创建并运营了Rapper Bot,并与一名他声称只知道其黑客账号为“ Slaykings ”的人五五分成。Foltz还与调查人员分享了他们的Telegram聊天记录,其中Foltz和Slaykings讨论了如何在竞争对手被抓捕时最好地避开执法调查人员的视线。
具体来说,两位黑客谈到了5月20日针对KrebsOnSecurity.com的攻击,该攻击每秒数据量超过6.3TB。这次短暂的攻击之所以引人注目,是因为它是谷歌有史以来抵御的最大规模的DDoS攻击(KrebsOnSecurity受Project Shield的保护,Project Shield是谷歌为提供新闻、人权和选举相关内容的网站提供的一项免费DDoS防御服务)。
2025年5月的DDoS攻击是由一个名为Aisuru的物联网僵尸网络发起的,我发现该网络由一名21岁的巴西男子Kaike Southier Leite运营。此人在网上更常被称为“ Forky ”,Forky告诉我,他不怕我或美国联邦调查人员。然而,针对Foltz的投诉指出,在Rapper Bot感染数量不断上升的同时,Forky的僵尸网络规模和火力似乎有所减弱。
彼得森在刑事起诉书中写道:“FOLTZ 和 Slaykings 都非常讨厌寻求关注的活动,在他们看来,最极端的行为就是对著名网络安全记者 Brian Krebs 的网站发起 DDoS 攻击。”
“你看,他们会让自己[脏话],”Slaykings 在回应 Foltz 关于 Forky 和 Aisuru 给自己带来太多压力的评论时写道。
福尔茨回复道:“可能是因为[删除]击中了克雷布斯。”
“跟克雷布斯作对可不是什么好主意,”Slaykings 附和道。“这跟[脏话]或者害怕没关系,只是你得花一大笔钱,却惹来一堆麻烦。幼稚,但好。让他们去死吧。”
“是的,这很好,但他们都会死,”福尔茨回答道。
政府称,就在福尔茨被捕前,Rapper Bot 已在全球范围内控制了约 6.5 万台设备。这听起来可能很多,但起诉书指出,被告并不想因为构建了全球最大或最强大的僵尸网络而成为头条新闻。
恰恰相反:起诉书声称,被告小心地将其僵尸网络维持在“金发姑娘”大小——确保“设备数量能够发起强大的攻击,同时仍然易于控制,并且,正如 Foltz 和他的合作伙伴所希望的那样,设备数量足够小,不会被检测到。”
起诉书称,几天后,福尔茨和斯莱金斯又开始讨论他们预计对手乐队会遭遇什么。斯莱金斯说:“克雷布斯复仇心切。除非他们彻底[脏话]了,否则他不会罢休。”
福尔茨回答道:“很惊讶他们还有机器人。”
“克雷布斯不是那种你想赖在你头上的人。不是因为他很可怕什么的,只是因为他不会放弃,直到你[脏话][脏话]。Mirai 和其他很多案例都证明了这一点。”
[撇开那些不知名的脏话不谈,这或许是我收到过网络犯罪分子的最高赞美了。我甚至可能会把这句话的一部分做成T恤或马克杯之类的。他们没有让任何客户攻击我的网站,这真是太好了——即使只是出于偏执的自我保护意识。]
Foltz 承认大约每周清除一次僵尸网络的用户和攻击日志,因此调查人员无法统计这台庞大犯罪机器的攻击次数、客户和目标总数。但现有数据显示,从 2025 年 4 月到 8 月初,Rapper Bot 发动了超过 37 万次攻击,针对 1000 个网络中的 18000 名独立受害者,其中大多数受害者居住在中国、日本、美国、爱尔兰和香港(按顺序排列)。
据政府称,Rapperbot 的大部分代码借鉴自fBot ,这是一种 DDoS 恶意软件,也称为Satori。2020年, 北爱尔兰当局指控当时 20 岁的男子Aaron “Vamp” Sterritt与同谋操作 fBot。美国检察官仍在寻求将 Sterritt 引渡到美国。fBot 本身是Mirai IoT 僵尸网络的一个变种,自2016 年其源代码泄露以来,该僵尸网络就通过 DDoS 攻击肆虐互联网。
起诉书称,福尔茨及其合作伙伴不允许大多数客户发起时长超过60秒的攻击——这是他们试图将公众对僵尸网络的关注度降至最低的另一种方式。然而,政府表示,这些网络运营者还与某些高薪客户达成了特殊协议,允许发起规模更大、持续时间更长的攻击。
被告及其所谓的同伙在博客文章中轻描淡写地讲述了他们一次僵尸网络攻击的后果。
大多数从未遭受过大规模DDoS攻击的人,根本无法想象这种攻击可能带来的损失和破坏。DCIS的彼得森写道,他在采访福尔茨时测试了僵尸网络的功能,并发现“如果这台服务器是我用来运行网站的,使用负载均衡器之类的服务,并且同时支付发送和接收数据的费用,按照行业平均水平估算,这次攻击(每秒2+Tbps,持续30秒)可能会给受害者造成500到1万美元的损失。”
投诉中继续写道:“这种规模的DDoS攻击通常会使受害者遭受毁灭性的经济损失,而潜在的替代方案,即减轻预期攻击的网络工程解决方案,例如过度配置(即增加潜在的互联网容量)或DDoS防御技术,本身可能成本高昂。对于许多受害者来说,这种‘进退两难’的现实可能会使他们极易受到勒索——‘支付X美元,DDoS攻击就会停止’。”
Telegram 聊天记录显示,在彼得森和其他联邦特工突袭福尔茨住所的前一天,福尔茨据称告诉他的搭档,他发现了 32,000 台新设备,这些设备容易受到以前未知的攻击。
Foltz 和 Slaykings 正在讨论发现一个物联网漏洞,这将为他们带来 32,000 台新设备。
据称,在搜查令送达福尔茨住所前不久,他曾告诉他的搭档:“我们再次拥有了社区里最大的僵尸网络。”第二天,福尔茨告诉他的搭档,这将是伟大的一天——这将是 Rapper Bot 迄今为止创造的最大收入。
“我坐在福尔茨旁边,看着信息蜂拥而至——承诺支付800美元,然后是1000美元,随着时间的推移,金额逐渐增加,”彼得森写道。“注意到福尔茨的行为发生了变化,Slaykings担心福尔茨会实时更改僵尸网络配置,于是问他‘怎么了?’福尔茨熟练地快速回复了几句。福尔茨的回答让Slaykings放心了,他回答说:‘好吧,我才是那个偏执狂。’”
此案由美国助理检察官亚当·亚历山大在阿拉斯加地区起诉(至少部分被发现感染Rapper Bot的设备就位于该地,而彼得森也驻扎于此)。福尔茨面临一项协助及教唆计算机入侵的指控。一旦罪名成立,他将面临最高10年监禁,尽管联邦法官不太可能对初犯判处如此刑期。
原文: https://krebsonsecurity.com/2025/08/oregon-man-charged-in-rapper-bot-ddos-service/