Ngày 19/8/2025, Bộ tư pháp Mỹ tuyên bố bắt giữ nghi phạm Ethan Foltz, 22 tuổi, sống ở Eugene, bang Oregon vì cáo buộc là nhà phát triển cũng như vận hành mạng lưới botnet khét tiếng mang tên Rapper Bot. Các công tố viên mô tả RapperBot là "một trong những mạng lưới botnet DDoS mạnh mẽ nhất từng tồn tại."
Theo các nhà điều tra, từ tháng 4 đến tháng 8 năm 2025, botnet RapperBot dựa trên nền tảng Mirai đã thực hiện hơn 370.000 cuộc tấn công nhắm vào khoảng 18.000 nạn nhân ở hơn 80 quốc gia trên toàn thế giới. Các mục tiêu bao gồm mạng lưới hệ thống mạng của chính phủ Mỹ, các nền tảng liên quan đến quốc phòng, các nền tảng truyền thông xã hội và cả các trang web cờ bạc của Trung Quốc. Một số nạn nhân bị cáo buộc đã bị ép trả tiền chuộc.
Foltz đã bị bắt vào ngày 6/8 khi các đặc vụ đột kích nhà ở của anh ta, và thu giữ hệ thống điều khiển và quản lý Botnet. Kể từ đó, RapperBot gần như đã biến mất. Nếu bị kết tội về tội danh xúi giục xâm nhập máy tính, anh này có thể phải đối mặt với án tù tối đa 10 năm.
![[IMG]](https://photo2.tinhte.vn/data/attachment-files/2025/08/8817304_rapperbot-execution-flow-new.png)
Theo cáo trạng của Bộ Tư pháp Mỹ, sức mạnh tấn công của botnet thường đạt con trung bình ở mức khá khủng khiếp, 2-3 Tbps, và cuộc tấn công lớn nhất của RapperBot được cho là vượt qua ngưỡng lưu lượng 6 Tbps.
Theo các nhà điều tra, từ tháng 4 đến tháng 8 năm 2025, botnet RapperBot dựa trên nền tảng Mirai đã thực hiện hơn 370.000 cuộc tấn công nhắm vào khoảng 18.000 nạn nhân ở hơn 80 quốc gia trên toàn thế giới. Các mục tiêu bao gồm mạng lưới hệ thống mạng của chính phủ Mỹ, các nền tảng liên quan đến quốc phòng, các nền tảng truyền thông xã hội và cả các trang web cờ bạc của Trung Quốc. Một số nạn nhân bị cáo buộc đã bị ép trả tiền chuộc.
Foltz đã bị bắt vào ngày 6/8 khi các đặc vụ đột kích nhà ở của anh ta, và thu giữ hệ thống điều khiển và quản lý Botnet. Kể từ đó, RapperBot gần như đã biến mất. Nếu bị kết tội về tội danh xúi giục xâm nhập máy tính, anh này có thể phải đối mặt với án tù tối đa 10 năm.
Theo cáo trạng của Bộ Tư pháp Mỹ, sức mạnh tấn công của botnet thường đạt con trung bình ở mức khá khủng khiếp, 2-3 Tbps, và cuộc tấn công lớn nhất của RapperBot được cho là vượt qua ngưỡng lưu lượng 6 Tbps.
Một cuộc tấn công DDoS với lưu lượng trung bình hơn 2 Tbps kéo dài 30 giây có thể gây thiệt hại từ 500 đến 10.000 USD cho nạn nhân, theo các nhà điều tra.
RapperBot lấy cảm hứng rất nhiều từ botnet fBot (hay Satori) và Mirai, nổi tiếng với khả năng xâm nhập vào các thiết bị mục tiêu bằng cách tấn công brute force SSH hoặc Telnet, và chiếm đoạt thiết bị để tạo thành một mạng lưới độc hại có thể khởi động các cuộc tấn công DDoS. Botnet này được Fortinet ghi nhận lần đầu tiên vào tháng 8/2022, với các chiến dịch ban đầu được quan sát từ tháng 5/2021.
Báo cáo công bố năm 2023 của Fortinet mô tả chi tiết quá trình mở rộng của botnet DDoS này sang cryptojacking, lợi dụng hệ thống để đào những đồng tiền điện tử như Monero. Đầu năm nay, RapperBot cũng có liên quan đến các cuộc tấn công DDoS nhắm vào DeepSeek và X.
Với quy mô phá hoại như thế này, kết hợp với mô hình cho thuê vận hành Botnet theo yêu cầu, đã khiến nó trở thành một công cụ được đánh giá cao trong giới tội phạm công nghệ cao. Các công tố viên cho biết, RapperBot này không chỉ tạo điều kiện cho các chiến dịch tấn công DDoS, mà còn nhắm mục tiêu vào chính các mạng lưới của Bộ Quốc phòng.
Đợt triệt phá này là một phần của chiến dịch PowerOFF, một nỗ lực quốc tế nhằm triệt phá những dịch vụ DDoS. Cơ quan Điều tra Hình sự Quốc phòng (DCIS) dẫn đầu cuộc điều tra, được hỗ trợ bởi Văn phòng Luật sư Mỹ ở Alaska và Oregon, với sự hỗ trợ kỹ thuật từ AWS, Akamai, Cloudflare, Google, DigitalOcean, Flashpoint, PayPal và Unit 221B. Cùng nhau, họ đã xác định và vô hiệu hóa cơ sở hạ tầng độc hại trước khi nó có thể được sử dụng để thực hiện các cuộc tấn công tiếp theo.
Amazon Web Services, một trong nhiều công ty hỗ trợ sáng kiến này, cho biết RapperBot đã lây nhiễm trên hơn 45.000 thiết bị IoT ở 39 quốc gia, và AWS giúp xác định cơ sở hạ tầng điều khiển và chỉ huy của RapperBot, cũng như đảo ngược những mã độc lây lan trên các thiết bị IoT để thiết lập bản đồ vận hành, cũng như hoạt động của mạng lưới Botnet.
Quảng cáo
Amazon Web Services đã xác nhận vai trò của họ trong chiến dịch. Trong một bài đăng trên LinkedIn, họ cho biết rằng các công cụ phát hiện mối đe dọa và khả năng hiển thị lưu lượng mạng của họ đã giúp các cơ quan thực thi pháp luật truy quét Botnet. Mặc dù chi tiết còn hạn chế, nhưng đây là một dấu hiệu cho thấy các nhà cung cấp dịch vụ đám mây lớn đang ngày càng trở nên trung tâm trong việc trấn áp tội phạm mạng quy mô lớn.
Luật sư Michael Heyman ca ngợi vụ án là "thành tựu điều tra xuất sắc," chấm dứt những nỗ lực của Foltz với vai trò người phát triển và vận hành botnet. Đặc vụ phụ trách Kenneth DeChellis của DCIS cho biết RapperBot đe dọa “trực tiếp” đến Bộ Quốc phòng và cảnh báo những kẻ chăn bot tiềm ẩn khác phải rút kinh nghiệm từ sự việc này.
Foltz đang chờ hầu tòa, còn máy chủ của RapperBot nằm trong tay chính phủ Mỹ, vụ án này đã làm nổi bật cả quy mô “ngành công nghiệp” DDoS hiện nay và giá trị của sự hợp tác giữa các nhà quản lý lẫn các doanh nghiệp để triệt phá chúng.
Nhà nghiên cứu Jérôme Meyer của Nokia thì cho biết, việc triệt phá RapperBot đã loại bỏ một mối đe dọa quy mô lớn chưa từng có. Ông nhấn mạnh rằng vào thời điểm đỉnh cao, mạng lưới này đã huy động hàng chục nghìn thiết bị, với nhiều thiết bị chưa từng tham gia vào các cuộc tấn công DDoS. Ông cũng nhấn mạnh rằng việc triệt phá RapperBot sẽ loại bỏ một trong những nguồn tấn công DDoS hàng đầu, thứ mà các tổ chức trên toàn thế giới đang phải đối mặt, và nó đánh dấu một chiến thắng quan trọng cho các nỗ lực an ninh mạng của chính phủ liên bang.
Tổng hợp 1, 2, 3
Quảng cáo
