俄勒冈男子因运营"DDoS说唱机器人"僵尸网络被起诉

2025年8月19日

一名22岁的俄勒冈男子因涉嫌运营"Rapper Bot"而被逮捕，这是一个用于发起分布式拒绝服务（DDoS）攻击的大型僵尸网络，其中包括2025年3月导致Twitter/X服务中断的攻击。司法部声称，嫌疑人和一名身份不明的同谋将僵尸网络租给在线勒索者，并通过确保其僵尸网络从不攻击KrebsOnSecurity网站来躲避执法部门的注意。

Rapper Bot僵尸网络的控制面板向用户显示消息"欢迎来到球池，现在支持冰箱"，这明显指的是他们的DDoS僵尸网络中 enslaved 的一些支持物联网的冰箱。

2025年8月6日，联邦特逮捕了俄勒冈州斯普林菲尔德市的Ethan J. Foltz，怀疑他运营Rapper Bot，这是一个全球分布的由数万台被黑客入侵的物联网（IoT）设备组成的集合。

对Foltz的起诉书解释说，攻击通常每秒产生超过2太比特的垃圾数据（1太比特等于1万亿比特数据），这些流量足以给除防御最严密的目标外的所有目标造成严重问题。政府表示，Rapper Bot持续发起的攻击"比数据中心典型服务器的预期容量大数百倍"，其中一些最大的攻击超过每秒6太比特。

事实上，据报道，Rapper Bot对2025年3月10日导致Twitter/X间歇性中断的攻击负责。政府表示，Rapper Bot最赚钱和最频繁的客户涉及勒索在线企业——包括许多位于中国的赌博业务。

刑事起诉书由国防刑事调查局（DCIS）的调查员Elliott Peterson撰写，DCIS是国防部（DoD）监察长办公室的刑事调查部门。起诉书指出，DCIS介入是因为国防部维护的几个互联网地址是Rapper Bot攻击的目标。

Peterson说，在向亚利桑那州一家托管僵尸网络控制服务器的ISP发出传票后，他追踪Rapper Bot到Foltz，显示该账户通过PayPal支付。向PayPal发出更多法律程序后，揭示了Foltz的Gmail账户和以前使用的IP地址。向Google发出的传票显示，被告不断搜索安全博客以获取有关Rapper Bot的新闻以及竞争性DDoS租用僵尸网络的更新。

根据起诉书，在对其住所执行搜查令后，被告承认构建并运营Rapper Bot，与一个他仅通过黑客代号"Slaykings"认识的人五五分成利润。Foltz还与调查人员分享了他的Telegram聊天记录，其中Foltz和Slaykings讨论了在竞争对手被抓获时如何最好地躲避执法调查人员的注意。

具体来说，两名黑客聊到了2025年5月20日对KrebsOnSecurity.com的攻击，该攻击每秒产生超过6.3太比特的数据。这次短暂攻击之所以引人注目，是因为当时是Google有史以来缓解的最大DDoS攻击（KrebsOnSecurity受到Project Shield的保护，这是Google向提供新闻、人权和选举相关内容的网站提供的免费DDoS防御服务）。

2025年5月的DDoS攻击是由一个名为Aisuru的物联网僵尸网络发起的，我发现它由巴西一名名为Kaike Southier Leite的21岁男子运营。这个人在网上更常被称为"Forky"，Forky告诉我他不害怕我或美国联邦调查人员。然而，对Foltz的起诉书指出，Forky的僵尸网络的规模和火力似乎在减少，而Rapper Bot的感染数量却在上升。

“FOLTZ和Slaykings都非常不屑于寻求关注的活动，他们认为最极端的是对著名网络安全记者Brian Krebs的网站发起DDoS攻击，“Peterson在刑事起诉书中写道。

“你看，他们会把自己搞砸的，“Slaykings在回应Foltz关于Forky和Aisuru给自己带来太多麻烦的评论时写道。

“可能是因为[已编辑]攻击了Krebs，“Foltz回复道。

“对抗Krebs不是个好举动，“Slaykings同意。“这不是关于胆小或害怕，你只是为零金钱惹来很多麻烦。幼稚，但很好。让他们死吧。”

“是的，不过这很好，他们会死的，“Foltz回答。

政府表示，就在Foltz被捕之前，Rapper Bot在全球 enslave 了大约65,000台设备。这听起来可能很多，但起诉书指出，被告对制造世界上最大或最强大的僵尸网络以登上头条新闻不感兴趣。

恰恰相反：起诉书声称，被告注意将其僵尸网络维持在"金发姑娘"规模——确保"设备数量既能提供强大的攻击，又易于控制，并且Foltz及其同伙希望规模小到不被发现。”

起诉书指出，几天后，Foltz和Slaykings回到讨论他们预计对手团体将遭遇什么，Slaykings说：“Krebs非常记仇。他不会停止，直到他们被[咒骂]到骨子里。”

“惊讶他们还有任何机器人剩下，“Foltz回答。

“Krebs不是你希望缠上你的人。不是因为他可怕什么的，只是因为他不会放弃，直到你被[咒骂][咒骂]。用Mirai和许多其他案件证明了这一点。”

[除了未知的咒骂外，这很可能是我从网络罪犯那里得到的最高赞美。我甚至可能把部分那句话印在T恤或马克杯上。他们不让任何客户攻击我的网站也很好——即使只是出于偏执的自我保护意识。]

Foltz承认大约每周清除一次僵尸网络的用户和攻击日志，因此调查人员无法统计这台庞大犯罪机器的攻击总数、客户和目标。但仍然可用的数据显示，从2025年4月到8月初，Rapper Bot进行了超过37万次攻击，针对1,000个网络中的18,000个独特受害者，大部分受害者位于中国、日本、美国、爱尔兰和香港（按此顺序）。

根据政府的说法，Rapper Bot的大部分代码借用了fBot，这是一种也被称为Satori的DDoS恶意软件变种。2020年，北爱尔兰当局指控当时20岁的名为Aaron “Vamp” Sterritt的男子与一名同谋运营fBot。美国检察官仍在寻求将Sterritt引渡到美国。fBot本身是Mirai物联网僵尸网络的一个变种，自2016年其源代码泄露以来，该僵尸网络一直以DDoS攻击肆虐互联网。

起诉书说，Foltz和他的同伙不允许大多数客户发起持续时间超过60秒的攻击——这是他们试图将公众对僵尸网络的关注保持在最低限度的另一种方式。然而，政府表示，所有者还与某些高付费客户有特殊安排，允许更大和更长的攻击。

被告和他所谓的同伙对这篇关于他们一次僵尸网络攻击后果的博客文章不以为然。

大多数从未遭受过巨大DDoS攻击的人不知道这种围攻可能带来的成本和中斷。DCIS的Peterson写道，他在采访Foltz时能够测试僵尸网络的能力，并发现"如果这是一个我运行网站的服务器，使用负载均衡器等服务，并为传出和传入数据付费，按估计的行业平均费率，攻击（每秒2+太比特乘以30秒）可能使受害者损失500到10,000美元。”

“这种规模的DDoS攻击常常使受害者面临毁灭性的财务影响，而一个潜在的替代方案，即缓解预期攻击的网络工程解决方案，如过度配置（即增加潜在互联网容量）或DDoS防御技术，本身可能昂贵得令人望而却步，“起诉书继续写道。“对许多受害者来说，这种’进退两难’的现实可能使他们极易受到勒索要求——‘支付X美元，DDoS攻击就停止’。”

Telegram聊天记录显示，在Peterson和其他联邦特工突袭Foltz住所的前一天，Foltz据称告诉他的同伙，他发现了32,000台新设备，这些设备容易受到一个先前未知漏洞的攻击。

Foltz和Slaykings讨论发现一个物联网漏洞，这将给他们带来32,000台新设备。

就在对其住所执行搜查令前不久，Foltz据称告诉他的同伙：“我们再次拥有了社区中最大的僵尸网络。“第二天，Foltz告诉他的同伙，这将是一个伟大的一天——就Rapper Bot产生的收入而言，是迄今为止最大的一天。

“当消息涌入时，我坐在Foltz旁边——承诺800美元，然后1,000美元，随着一天过去，收益不断上升，“Peterson写道。“注意到Foltz行为的变化并担心Foltz正在实时修改僵尸网络配置，Slaykings问他’怎么了？’ Foltz熟练地快速打出一些回复。被Foltz的回答 reassured 后，Slaykings回答，‘好的，我是偏执的那个。’”

此案由阿拉斯加地区的美国助理检察官Adam Alexander起诉（至少部分发现感染Rapper Bot的设备位于那里，也是Peterson驻扎的地方）。Foltz面临一项协助和教唆计算机入侵的指控。如果被定罪，他面临最高10年监禁，尽管联邦法官不太可能对首次定罪判处 anywhere near 那种刑期。