IoT_reaper, auch als IoTroop bekannt, wurde am 20. Oktober von den Sicherheitsfirmen Oihoo 360 aus China und Check Point aus Israel entdeckt – und als große Bedrohung beschrieben. Nun gibt der Sicherheitsforscher Pascal Geenens vom ebenfalls israelischen Unternehmen Radware eine erste Entwarnung: Im Gegensatz zum ähnlich aufgebauten Mirai, das im vergangenen Jahr Teile des Internets lahmlegte, nutze Reaper festgelegte Adressen für seine Steuerungsserver. Diese Verbindungen aber können im Notfall vonseiten der Internetbetreiber per Blacklisting gekappt werden — womit das Botnetz harmlos würde.
Reaper befällt Kameras, Router und Internet-of-Things-Geräte, indem es ungepatchte Sicherheitslücken ausnutzt. Laut Check Point ist es den bis dato unbekannten Entwicklern hinter Reaper auf diese Weise gelungen, ein riesiges Botnet aus vielen Millionen befallenen Geräten aufzubauen. Mit der Rechenleistung solcher Netzwerke lassen sich so genannte DDoS-Attacken auf Server durchführen. Ohne das Wissen ihrer Besitzer würden ihre IoT-Geräte dann Anfragen an eine Zieldomain schicken und diese überlasten und zum Zusammenbruch bringen. Als Reaper im Oktober entdeckt wurde, war die Reaktion in Sicherheitskreisen entsprechend groß.
Sicherheitsforscher von Arbor gehen mittlerweile davon aus, dass Reaper für Auftragsangriffe innerhalb von China erschaffen wurde. Sicherheitsforscher von F5 Networks bewundern in einem Artikel die Arbeit hinter dem Botnet: „Wenn du der weltbeste IoT-Botnet-Macher wärst und der Welt zeigen wolltest, wie gut ein IoT-Botnet gebaut sein kann, würdest du Reaper bauen.“ In ihrem Artikel verweisen die Autoren David Holmes und Justin Shattuck zudem auf die Update-Fähigkeiten von Reaper, die eventuelle Schwachstellen durchaus beheben könnten.