Un giovane di 22 anni dell’Oregon è stato accusato negli Stati Uniti per aver creato e gestito una botnet DDoS su commissione chiamata RapperBot. Secondo il Dipartimento di Giustizia, RapperBot è stata utilizzata per orchestrare attacchi DDoS su larga scala contro obiettivi in oltre 80 paesi dal 2021. Le autorità hanno identificato il giovane come amministratore del servizio e hanno sequestrato l’infrastruttura della botnet durante una perquisizione avvenuta il 6 agosto 2025.

RapperBot: caratteristiche e funzionamento

RapperBot, nota anche come Eleven Eleven Botnet e CowBot, prende di mira dispositivi come videoregistratori digitali (DVR) e router Wi-Fi, infettandoli con un malware specializzato. I clienti della botnet potevano così comandare questi dispositivi compromessi, obbligandoli a generare enormi quantità di traffico DDoS verso server e computer di tutto il mondo. Il malware si ispira a botnet storiche come fBot (conosciuta anche come Satori) e Mirai, e sfrutta attacchi brute-force SSH e Telnet per infettare nuovi dispositivi e accrescersi.

Fortinet ha documentato per la prima volta RapperBot nell’agosto 2022, ma le campagne malevole risalgono almeno a maggio 2021. Nel 2023, RapperBot ha esteso le sue attività includendo il cryptojacking, ossia il mining illecito di Monero sfruttando le risorse delle macchine infette. Quest’anno la botnet è stata coinvolta anche negli attacchi DDoS contro DeepSeek e X, piattaforme di rilievo internazionale.

L’indagine delle autorità

Le indagini hanno portato all’individuazione dell’amministratore grazie al collegamento di indirizzi IP tra servizi come PayPal, Gmail e fornitori di accesso a internet. Il sospettato aveva inoltre effettuato numerose ricerche online sulla propria creatura, cercando centinaia di volte i termini RapperBot e Rapper Bot.

Dati sugli attacchi e collaborazione internazionale

Secondo i pubblici ministeri, RapperBot avrebbe infettato tra 65.000 e 95.000 dispositivi, raggiungendo picchi di attacco superiori a 6 Tbps e colpendo almeno 18.000 vittime uniche tra Cina, Giappone, Stati Uniti, Irlanda e Hong Kong. In totale, si stima che siano stati condotti oltre 370.000 attacchi. Alcuni di questi erano attacchi DDoS a scopo di estorsione.

Amazon Web Services ha contribuito alle indagini identificando oltre 45.000 dispositivi infetti e mappando l’infrastruttura di comando e controllo della botnet. La disattivazione di RapperBot si inserisce nell’ambito dell’operazione internazionale PowerOFF, mirata a smantellare le infrastrutture criminali DDoS-for-hire a livello globale.