A botnet, conhecida como KV-botnet, era utilizada para ataques contra infraestruturas críticas nos Estados Unidos, permitindo que as atividades maliciosas do grupo fossem mascaradas por meio de centenas de pequenos escritórios e dispositivos domésticos (SOHO) comprometidos em todo o país, a fim de evitar detecção.

Após obter uma ordem judicial em 6 de dezembro, agentes do FBI assumiram o controle de um dos servidores de comando e controle (C2) da botnet, cortando o acesso dos hackers chineses aos dispositivos infectados, que incluíam roteadores Netgear ProSAFE, Cisco RV320s e DrayTek Vigor, além de câmeras IP Axis, todos considerados obsoletos.

Dois dias após a ação do FBI, o grupo Volt Typhoon iniciou uma varredura na internet em busca de dispositivos vulneráveis para sequestrar e reconstruir a botnet desmantelada. No entanto, apesar dos esforços concentrados, as rotas dos servidores C2 foram anuladas, entre 12 de dezembro e 12 de janeiro.

Desde a última observação de sinalização da KV-botnet em 3 de janeiro, nenhum outro servidor C2 foi ativado. A falta de um servidor C2 ativo, combinada com a ação autorizada pelo tribunal do FBI contra a KV-botnet e a anulação persistente da rota da infraestrutura do cluster KV pela Lumen Technologies, indica que o cluster de atividades KV não está mais efetivamente ativo.