US-Justizministerium klagt 22-Jährigen wegen RapperBot-Botnet an
Das Botnet soll über 370.000 DDoS-Angriffe in mehr als 80 Ländern durchgeführt haben. Der Beschuldigte aus Oregon drohen bis zu zehn Jahre Haft.
Das US-Justizministerium hat Anklage gegen einen 22-jährigen Mann aus Oregon erhoben, der das RapperBot-Botnet entwickelt und betrieben haben soll. Ethan Foltz aus Eugene wird vorgeworfen, seit mindestens 2021 einen DDoS-for-hire-Service zu administrieren, der Angriffe gegen Ziele in über 80 Ländern ermöglichte.
Laut der Anklageschrift wird Foltz der Beihilfe zu Computereinbrüchen beschuldigt. Bei einer Verurteilung droht ihm eine Höchststrafe von zehn Jahren Gefängnis. Am 6. August 2025 durchsuchten Ermittler bereits Foltz‘ Wohnsitz und übernahmen die administrative Kontrolle über die Botnet-Infrastruktur.
Das Justizministerium beschreibt RapperBot als ein Botnet, das primär Geräte wie digitale Videorekorder und Wi-Fi-Router in großem Umfang kompromittiert, indem es diese mit spezialisierter Malware infiziert. Kunden des Services konnten dann Befehle an die infizierten Geräte senden und diese dazu zwingen, große Mengen an DDoS-Verkehr an verschiedene Zielcomputer und Server weltweit zu versenden.
Technische Grundlagen und massive Angriffskraft
RapperBot, das auch unter den Namen „Eleven Eleven Botnet“ und „CowBot“ bekannt ist, basiert laut The Hacker News auf den Botnets fBot (auch Satori genannt) und Mirai. Die Malware verschafft sich Zugang zu Zielgeräten durch SSH- oder Telnet-Brute-Force-Angriffe und integriert diese in ein bösartiges Netzwerk.
Fortinet dokumentierte das Botnet erstmals öffentlich im August 2022, wobei frühe Kampagnen bereits im Mai 2021 beobachtet wurden. Ein Bericht von Fortinet aus dem Jahr 2023 zeigte, dass RapperBot seine Aktivitäten auf Cryptojacking ausgeweitet hatte, um durch das illegale Mining von Monero zusätzliche Gewinne aus den kompromittierten Geräten zu erzielen.
Die Staatsanwaltschaft wirft Foltz und seinen Mitverschwörern vor, RapperBot zwischen April 2025 und Anfang August kommerziell zu betreiben. Zahlende Kunden erhielten Zugang zu einem mächtigen DDoS-Botnet, das über 370.000 Angriffe gegen 18.000 eindeutige Opfer in China, Japan, den USA, Irland und Hongkong durchführte.
Amazon Web Services (AWS) unterstützte die Ermittlungen und gab bekannt, dass RapperBot mehr als 45.000 Geräte in 39 Ländern infizierte. AWS half dabei, die Command-and-Control-Infrastruktur zu identifizieren und die IoT-Malware zurückzuentwickeln, um deren Operationen zu kartieren.
Rekordverdächtige Angriffsstärke und Erpressungsversuche
Das Botnet umfasste laut Anklage zwischen 65.000 und 95.000 infizierte Geräte und konnte DDoS-Angriffe mit einer Stärke von zwei bis drei Terabit pro Sekunde durchführen. Der größte Angriff soll wahrscheinlich sogar sechs Tbps überschritten haben. Diese Zahlen ordnen RapperBot unter die stärksten bekannten DDoS-Botnets ein.
Die Ermittler beschuldigen die Betreiber außerdem, das Botnet für Ransom-DDoS-Angriffe eingesetzt zu haben, um Opfer zu erpressen. Frühere Berichte verbanden RapperBot mit hochvolumigen Angriffen gegen die KI-Plattform DeepSeek und die Social-Media-Plattform X.
Die Spur zu Foltz führte über IP-Adressen, die mit verschiedenen Online-Services des Beschuldigten verknüpft waren, darunter PayPal, Gmail und sein Internetdienstanbieter. Besonders belastend: Foltz soll über 100 Mal bei Google nach „RapperBot“ oder „Rapper Bot“ gesucht haben.
Die Zerschlagung von RapperBot erfolgt im Rahmen der Operation PowerOFF, einer internationalen Initiative zur Bekämpfung krimineller DDoS-for-hire-Infrastrukturen weltweit. Diese Operation hat bereits mehrere ähnliche Services stillgelegt und zeigt die wachsende internationale Zusammenarbeit bei der Bekämpfung von Cyberkriminalität.