JDY Botnet
I ricercatori nel campo della sicurezza informatica hanno individuato una significativa ripresa ed espansione di JDY, una rete clandestina collegata ad attori statali allineati con la Cina. Inizialmente rilevata nel dicembre 2023 come un cluster all'interno della più ampia infrastruttura della botnet KV, JDY si è evoluta in una piattaforma di ricognizione indipendente ed estremamente efficace.
La rete è composta da oltre 1.500 dispositivi compromessi appartenenti a piccole imprese/uffici domestici (SOHO) e all'Internet delle cose (IoT). Piuttosto che essere utilizzato principalmente per attacchi diretti, JDY funziona come un sistema di scansione centralizzato ad alte prestazioni, in grado di individuare, identificare e mappare continuamente i servizi esposti a Internet su larga scala.
Gruppi terroristici cinesi, tra cui Volt Typhoon, hanno in passato sfruttato la rete per supportare le attività di raccolta di informazioni e identificazione degli obiettivi.
Sommario
Adattamento in seguito allo smantellamento della botnet KV
Dopo lo smantellamento della botnet KV da parte del governo statunitense all'inizio del 2024, gli operatori di JDY hanno modificato il loro comportamento operativo. Mentre un cluster KV secondario è in gran parte scomparso, JDY ha continuato a evolversi ed espandersi. I ricercatori ritengono che l'infrastruttura possa essere condivisa con diversi gruppi di hacker cinesi, oltre a essere utilizzata direttamente dai suoi operatori per attività di ricognizione.
Recenti indagini rivelano che il malware ora prende di mira una gamma molto più ampia di dispositivi e funge da livello di raccolta dati all'interno di un ecosistema di scansione più ampio. Le informazioni di ricognizione strutturate raccolte da JDY vengono immesse in sistemi che facilitano la selezione dei bersagli e le successive attività di sfruttamento.
Particolarmente preoccupante è il ruolo di JDY nell'identificare rapidamente i sistemi vulnerabili a seguito di divulgazioni pubbliche di vulnerabilità. Questo comportamento suggerisce l'esistenza di un'operazione di ricognizione altamente organizzata, i cui risultati vengono successivamente utilizzati da attori statali cinesi.
Crescita rapida ed espansione globale
La botnet ha registrato una crescita sostanziale, passando da circa 650 dispositivi infetti nel gennaio 2024 a oltre 1.500 sistemi compromessi. La maggior parte dei nodi infetti si trova negli Stati Uniti e in Brasile, con ulteriori concentrazioni in Europa e Asia. Il crescente numero di dispositivi brasiliani riflette una tendenza più ampia in cui le botnet fanno sempre più affidamento su sistemi compromessi in Brasile.
L'ecosistema di dispositivi di JDY è diventato notevolmente più diversificato. Mentre le versioni precedenti si basavano principalmente sui router Cisco RV320 e RV325, la rete attuale include hardware di diversi fornitori:
- Cisco
- Araknis
- Mimosa Networks
- Ubiquiti
Questa diversità rafforza la resilienza della rete e ne amplia la portata operativa.
Integrarsi nel traffico internet legittimo
Una parte significativa dell'infrastruttura di JDY è composta da dispositivi SOHO e IoT con sede negli Stati Uniti. Questa distribuzione consente agli operatori di aggirare molti controlli di sicurezza tradizionali, tra cui le restrizioni di geofencing, il filtraggio della reputazione IP e le blacklist statiche.
Distribuendo l'attività di ricognizione su migliaia di indirizzi IP compromessi, gli operatori riducono la probabilità che un singolo sistema venga identificato e bloccato come fonte di scansione. Inoltre, l'utilizzo di dispositivi legittimi di consumatori e piccole imprese consente al traffico malevolo di mimetizzarsi più facilmente con la normale attività internet, rendendo il rilevamento significativamente più difficile.
Infrastruttura a strati progettata per la furtività
JDY opera attraverso un'architettura complessa e stratificata. Gli autori della minaccia utilizzano i nodi Tor per gestire sia l'infrastruttura di comando e controllo (C2) sia i server di distribuzione del payload, contribuendo a nascondere le attività operative.
Anziché condurre scansioni indiscriminate dell'intera rete internet, i server C2 assegnano compiti mirati di ricognizione e profilazione ai dispositivi infetti. Le informazioni raccolte vengono trasmesse a server centralizzati, dove vengono aggregate e analizzate a supporto delle più ampie operazioni informatiche cinesi e degli obiettivi strategici.
Sfruttamento di vulnerabilità appena scoperte
Le catene di attacco associate a JDY sfruttano frequentemente vulnerabilità appena scoperte nei dispositivi edge, tra cui vulnerabilità come CVE-2026-35616. Lo sfruttamento riuscito innesca l'esecuzione di uno script di shell che verifica innanzitutto se il malware è già presente sul sistema target.
Se non viene rilevata alcuna infezione attiva, il dropper scarica il payload malware appropriato in base all'architettura del processore della vittima, incluse le varianti per sistemi MIPS, MIPS64, MIPSEL e MIPSEL64. Una volta eseguito, il malware scaricato si rimuove dal disco per ridurre la visibilità forense.
Capacità avanzate di ricognizione e scansione adattiva
Lo scopo principale del malware è la raccolta di informazioni, piuttosto che lo sfruttamento diretto delle vulnerabilità. Una volta attivo, identifica l'host compromesso, riceve incarichi di scansione dall'infrastruttura di comando centrale, esegue sondaggi di rete su larga scala, raccoglie dati di risposta come certificati TLS e metadati dei servizi e invia i risultati ai server di controllo.
Il suo motore di scansione è altamente adattivo e regola il proprio comportamento in base ai privilegi disponibili sul dispositivo infetto:
Quando è disponibile l'accesso a livello di root, il malware apre socket raw ed esegue scansioni SYN ad alta velocità utilizzando pacchetti TCP appositamente creati.
Quando non sono disponibili privilegi elevati o quando è necessaria la ricognizione via web, il sistema si basa su connessioni TCP e TLS standard e può anche impiegare tecniche di sondaggio basate su UDP e ICMP.
Questa flessibilità consente a JDY di massimizzare l'efficacia della ricognizione su un'ampia gamma di sistemi compromessi.
Una capacità di ricognizione persistente per gli attori cinesi che rappresentano una minaccia.
I ricercatori ritengono che le informazioni raccolte tramite JDY supportino le operazioni di individuazione delle risorse, i flussi di lavoro di individuazione delle vulnerabilità e le piattaforme di sfruttamento o di orchestrazione degli attacchi a valle.
La botnet illustra come le moderne reti di dispositivi IoT e SOHO si stiano trasformando sempre più in piattaforme di ricognizione a risposta rapida, capaci di identificare infrastrutture vulnerabili poco dopo che le falle di sicurezza diventano pubbliche. La sua continua crescita dimostra che interrompere singoli cluster o nodi non elimina necessariamente la capacità sottostante.
La trasformazione di JDY da elemento di supporto della botnet KV a piattaforma di ricognizione indipendente e ad alte prestazioni evidenzia la persistenza e l'adattabilità dei moderni ecosistemi di minacce informatiche. Anche dopo gli interventi di smantellamento, l'infrastruttura continua a evolversi, fornendo agli avversari informazioni di targeting utilizzabili, spesso entro poche ore dalla divulgazione di una nuova vulnerabilità.
