미국 연방수사국(FBI)이 정교한 KV 봇넷을 해체해 중국 국가 해커인 볼트 타이푼(Volt Typhoon)의 활동을 저지했다. 이 봇넷은 미국 전역의 수많은 소규모 사무실/홈 오피스(SOHO)를 탈취하는 데 사용되었으며, 해커들은 탐지를 피하면서

중요 인프라에 대한 공격을 수행할 수 있었다.

12월 6일에 시작된 이 작전에는 법원의 허가를 받은 FBI의 개입이 있었다. 해커들이 선호하는 공격 대상에는 넷기어 프로세이프, 시스코RV320, 드레이텍 비고 라우터, 엑시스 IP 카메라가 포함되었으며, 합법적인 트래픽 내에서 악성 활동을 위장하는 데 사용되는 은밀한 네트워크를 형성했다.

루멘 테크놀로지스의 블랙 로터스 랩스 팀은 지남해 12월에 이 멀웨어를 중국 위협 그룹과 연결시킨 적이있다. 시큐리티스코어카드 보고서에 따르면, 볼트 타이푼 해커들은 한 달여 만에 온라인에 있는 모든 Cisco RV320/325 장치의 약 30%를 손상시킨것으로조사됐다.

FBI 국장은 중국이 통신, 에너지, 교통, 수도 등 주요 인프라 부문에 대한 작전 전 정찰과 네트워크 익스플로잇을 수행할 수 있게 해줬다며 볼트 타이푼 멀웨어의 심각성을 언급했다.

FBI의 개입은 봇넷으로부터 감염된 디바이스를 차단하는 것뿐만 아니라 봇넷 VPN 구성 요소를 제거하라는 명령을 내리고 해커가 이러한 디바이스를 추가 공격에 사용하지 못하도록 차단하는 것까지 포함했다. KV 봇넷에 사용된 대부분의 라우터는 '수명 종료' 상태, 즉 더 이상 보안 패치가 지원되지 않는 시스코 및 넷기어 라우터였다.

CISA와 FBI는 이러한 위협에 대비하여 소호 라우터 제조업체를 위한 지침을 발표했다. 여기에는 보안 업데이트를 자동화하고, 웹 관리 인터페이스를 LAN 액세스 전용으로 기본 설정하고, 설계 및 개발 단계에서 보안 결함을 제거할 것을 권장하는 내용이 포함되어 있다.

이 작업은 2023년 5월에 발표된 마이크로소프트 보고서에 따른 것으로, 2021년 중반부터 볼트 타이푼 해커들이 미국의 중요 인프라 조직을 표적으로 삼아 침입해 왔다는 사실을드러난것이다.. KV 봇넷의 은밀한 데이터 전송 네트워크는 미국 군사 조직, 통신 및 인터넷 서비스 제공업체, 유럽 재생 에너지 회사 등 다양한 기관에 대한 공격에 활용되었다.