JDY 봇넷
사이버 보안 연구원들은 중국과 연계된 국가 지원 위협 행위자들과 연관된 비밀 네트워크인 JDY가 크게 재부상하고 확장되고 있음을 확인했습니다. 2023년 12월, 더 큰 규모의 KV 봇넷 인프라 내의 클러스터로 처음 탐지된 JDY는 이제 독립적이고 매우 효과적인 정찰 플랫폼으로 진화했습니다.
이 네트워크는 1,500개 이상의 해킹당한 소규모 사무실/재택 사무실(SOHO) 및 사물 인터넷(IoT) 장치로 구성됩니다. JDY는 직접적인 공격에 주로 사용되기보다는, 대규모로 인터넷에 노출된 서비스를 탐지, 식별 및 지속적으로 매핑할 수 있는 중앙 집중식 고성능 스캐닝 시스템으로 기능합니다.
Volt Typhoon을 포함한 중국 위협 단체들은 이전에도 정보 수집 및 표적 식별 활동을 지원하기 위해 해당 네트워크를 활용한 바 있습니다.
목차
KV-봇넷 소탕 이후의 적응
미국 정부가 2024년 초 KV 봇넷을 해체한 후, JDY 운영자들은 운영 방식을 변경했습니다. 보조 KV 클러스터는 대부분 사라졌지만, JDY는 계속해서 진화하고 확장했습니다. 연구원들은 이 인프라가 여러 중국 해킹 그룹과 공유되는 동시에 운영자들이 정찰 활동에 직접 사용하고 있을 가능성이 있다고 보고 있습니다.
최근 조사에 따르면 해당 악성 소프트웨어는 이제 훨씬 더 광범위한 기기를 표적으로 삼고 있으며, 더 큰 스캔 생태계 내에서 데이터 수집 계층 역할을 합니다. JDY가 수집한 구조화된 정찰 정보는 표적 선택 및 후속 공격 활동을 용이하게 하는 시스템에 입력됩니다.
특히 우려스러운 점은 JDY가 취약점 공개 이후 취약 시스템을 신속하게 파악하는 데 관여했다는 사실입니다. 이러한 행태는 고도로 조직화된 정찰 작전이 존재하며, 그 결과가 이후 중국 국가 차원의 행위자들에 의해 활용된다는 것을 시사합니다.
급속한 성장과 글로벌 확장
봇넷은 상당한 성장을 보여 2024년 1월 약 650대의 감염 기기에서 현재 1,500대 이상의 시스템으로 확산되었습니다. 감염된 기기의 대부분은 미국과 브라질에 있으며, 유럽과 아시아에도 일부 집중되어 있습니다. 브라질에서 감염된 기기 수가 증가하는 것은 봇넷이 브라질의 감염된 시스템에 점점 더 의존하는 추세를 반영합니다.
JDY의 장치 생태계 또한 상당히 다양해졌습니다. 초기 버전은 주로 Cisco RV320 및 RV325 라우터에 의존했지만, 현재 네트워크에는 여러 공급업체의 하드웨어가 포함되어 있습니다.
- 시스코
- 아라크니스
- 미모사 네트워크
- 유비퀴티
이러한 다양성은 네트워크의 복원력을 강화하고 운영 범위를 넓힙니다.
정상적인 인터넷 트래픽에 자연스럽게 녹아들기
JDY의 인프라 상당 부분은 미국에 기반을 둔 SOHO 및 IoT 장치로 구성되어 있습니다. 이러한 분산 덕분에 통신 사업자는 지리적 제한, IP 평판 필터링, 고정 차단 목록 등 기존의 많은 보안 제어를 우회할 수 있습니다.
수천 개의 해킹된 IP 주소에 걸쳐 정찰 활동을 분산함으로써, 공격자들은 특정 시스템이 스캔 소스로 식별되어 차단될 가능성을 줄입니다. 또한, 합법적인 소비자 및 소규모 사업체 기기를 이용함으로써 악성 트래픽이 일반적인 인터넷 활동에 더욱 자연스럽게 섞여 들어가 탐지가 훨씬 어려워집니다.
은밀한 작전을 위해 설계된 계층형 인프라
JDY는 정교한 계층형 아키텍처를 통해 운영됩니다. 위협 행위자들은 Tor 노드를 사용하여 명령 및 제어(C2) 인프라와 페이로드 전달 서버를 모두 관리함으로써 작전 활동을 은폐합니다.
무차별적인 인터넷 전체 스캔을 수행하는 대신, C2 서버는 감염된 기기에 대해 표적 정찰 및 프로파일링 작업을 할당합니다. 수집된 정보는 중앙 서버로 전송되어 집계 및 분석되며, 이는 중국의 광범위한 사이버 작전 및 전략적 목표를 지원하는 데 사용됩니다.
새롭게 공개된 취약점을 악용하기
JDY와 관련된 공격 체인은 CVE-2026-35616과 같은 엣지 디바이스의 새로 공개된 취약점을 악용하는 경우가 많습니다. 공격에 성공하면 셸 스크립트 드로퍼가 전달되는데, 이 드로퍼는 먼저 대상 시스템에 악성코드가 이미 존재하는지 확인합니다.
활성 감염이 감지되지 않으면 드로퍼는 피해자의 프로세서 아키텍처(MIPS, MIPS64, MIPSEL, MIPSEL64 시스템용 변종 포함)에 따라 적절한 악성코드 페이로드를 다운로드합니다. 다운로드된 악성코드는 실행 후 디스크에서 스스로 삭제되어 포렌식 분석 시 추적 가능성을 줄입니다.
고급 정찰 및 적응형 스캐닝 기능
이 악성 소프트웨어의 주된 목적은 직접적인 공격보다는 정보 수집입니다. 활성화되면 감염된 호스트의 특징을 파악하고, 중앙 명령 인프라로부터 스캔 작업을 할당받아 대규모 네트워크 탐색을 수행하고, TLS 인증서 및 서비스 메타데이터와 같은 응답 데이터를 수집한 후, 발견 사항을 관제 서버로 보고합니다.
이 악성코드의 스캔 엔진은 적응력이 뛰어나 감염된 기기에서 사용 가능한 권한에 따라 동작을 조정합니다.
루트 권한 접근이 가능해지면, 악성 프로그램은 원시 소켓을 열고 사용자 지정으로 제작된 TCP 패킷을 사용하여 고속 SYN 스캐닝을 수행합니다.
관리자 권한을 사용할 수 없거나 웹 기반 정찰이 필요한 경우, 표준 TCP 및 TLS 연결을 사용하며 UDP 및 ICMP 기반 탐색 기술도 활용할 수 있습니다.
이러한 유연성을 통해 JDY는 다양한 침해 시스템에서 정찰 효과를 극대화할 수 있습니다.
중국 위협 행위자를 위한 지속적인 정찰 능력
연구원들은 JDY를 통해 수집된 정보가 자산 탐색 작업, 취약점 타겟팅 워크플로, 그리고 하위 단계의 공격 또는 공격 오케스트레이션 플랫폼을 지원한다고 믿습니다.
이 봇넷은 현대 IoT 및 SOHO 기기 네트워크가 보안 결함이 공개된 직후 취약한 인프라를 식별할 수 있는 신속 대응 정찰 플랫폼으로 점차 변모하고 있음을 보여줍니다. 봇넷의 지속적인 성장은 개별 클러스터 또는 노드를 차단하는 것만으로는 근본적인 기능을 완전히 제거할 수 없다는 것을 입증합니다.
JDY가 KV 봇넷의 지원 요소에서 독립적인 고성능 정찰 플랫폼으로 변모한 것은 현대 사이버 위협 생태계의 지속성과 적응력을 보여줍니다. 제거 노력 이후에도 해당 인프라는 계속 진화하여 적에게 실행 가능한 표적 정보를 제공하며, 새로운 취약점이 공개된 후 불과 몇 시간 만에 정보를 얻을 수 있습니다.
