JDY-botnet
Onderzoekers op het gebied van cyberbeveiliging hebben een aanzienlijke heropleving en uitbreiding van JDY vastgesteld, een verborgen netwerk dat gelinkt is aan door de Chinese staat gesponsorde dreigingsactoren. JDY werd oorspronkelijk in december 2023 ontdekt als een cluster binnen de grotere KV-botnetinfrastructuur en is uitgegroeid tot een onafhankelijk, zeer effectief verkenningsplatform.
Het netwerk bestaat uit meer dan 1500 gecompromitteerde apparaten voor kleine kantoren/thuiswerkplekken (SOHO) en het Internet of Things (IoT). JDY wordt niet primair gebruikt voor directe aanvallen, maar functioneert als een centraal beheerd, krachtig scansysteem dat in staat is om op grote schaal internetdiensten te ontdekken, te identificeren en continu in kaart te brengen.
Chinese terreurgroepen, waaronder Volt Typhoon, hebben het netwerk in het verleden gebruikt ter ondersteuning van het verzamelen van inlichtingen en het identificeren van doelwitten.
Inhoudsopgave
Aanpassingen na de uitschakeling van het KV-botnet
Nadat de Amerikaanse overheid begin 2024 het KV-botnet ontmantelde, pasten de JDY-operators hun werkwijze aan. Hoewel een secundair KV-cluster grotendeels verdween, bleef JDY zich ontwikkelen en uitbreiden. Onderzoekers vermoeden dat de infrastructuur mogelijk wordt gedeeld met meerdere Chinese hackergroepen en tevens rechtstreeks door de operators wordt gebruikt voor verkenningsactiviteiten.
Recent onderzoek wijst uit dat de malware zich nu richt op een veel breder scala aan apparaten en fungeert als een dataverzamelingslaag binnen een groter scansysteem. Gestructureerde verkenningsinformatie verzameld door JDY wordt ingevoerd in systemen die de selectie van doelwitten en de daaropvolgende exploitatieactiviteiten mogelijk maken.
Bijzonder zorgwekkend is de rol van JDY bij het snel identificeren van kwetsbare systemen na openbare bekendmakingen van beveiligingslekken. Dit gedrag wijst op het bestaan van een zeer georganiseerde verkenningsoperatie waarvan de bevindingen later worden gebruikt door Chinese staatsactoren.
Snelle groei en wereldwijde expansie
Het botnet is aanzienlijk gegroeid, van ongeveer 650 geïnfecteerde apparaten in januari 2024 tot meer dan 1500 gecompromitteerde systemen. De meeste geïnfecteerde apparaten bevinden zich in de Verenigde Staten en Brazilië, met daarnaast concentraties in Europa en Azië. Het groeiende aantal Braziliaanse apparaten weerspiegelt een bredere trend waarbij botnets steeds vaker gebruikmaken van gecompromitteerde systemen in Brazilië.
Het ecosysteem van apparaten van JDY is ook aanzienlijk diverser geworden. Waar eerdere versies voornamelijk gebruik maakten van Cisco RV320- en RV325-routers, omvat het huidige netwerk hardware van meerdere leveranciers:
- Cisco
- Araknis
- Mimosa-netwerken
- Ubiquiti
Deze diversiteit versterkt de veerkracht van het netwerk en vergroot het operationele bereik.
Opgaan in het legitieme internetverkeer
Een aanzienlijk deel van de infrastructuur van JDY bestaat uit SOHO- en IoT-apparaten in de VS. Deze spreiding stelt operators in staat om veel traditionele beveiligingsmaatregelen te omzeilen, waaronder geofencing-beperkingen, IP-reputatiefiltering en statische blokkeerlijsten.
Door de verkenningsactiviteiten te verspreiden over duizenden gecompromitteerde IP-adressen, verkleinen de beheerders de kans dat één enkel systeem wordt geïdentificeerd en geblokkeerd als scanbron. Bovendien zorgt het gebruik van legitieme apparaten van consumenten en kleine bedrijven ervoor dat kwaadaardig verkeer natuurlijker opgaat in de normale internetactiviteit, waardoor detectie aanzienlijk moeilijker wordt.
Gelaagde infrastructuur ontworpen voor onzichtbaarheid
JDY opereert via een geavanceerde, gelaagde architectuur. Kwaadwillende actoren gebruiken Tor-nodes om zowel de command-and-control (C2)-infrastructuur als de servers voor de levering van de payload te beheren, waardoor hun operationele activiteiten worden verhuld.
In plaats van willekeurige scans over het hele internet uit te voeren, wijzen de C2-servers gerichte verkennings- en profileringstaken toe aan geïnfecteerde apparaten. De verzamelde inlichtingen worden teruggestuurd naar gecentraliseerde servers, waar ze worden samengevoegd en geanalyseerd ter ondersteuning van bredere Chinese cyberoperaties en strategische doelstellingen.
Het misbruiken van recent ontdekte kwetsbaarheden
Aanvalsketens die met JDY in verband worden gebracht, maken vaak gebruik van recent gepubliceerde kwetsbaarheden in edge-apparaten, waaronder kwetsbaarheden zoals CVE-2026-35616. Succesvolle exploitatie activeert de verspreiding van een shellscript dat eerst controleert of de malware al op het doelsysteem aanwezig is.
Als er geen actieve infectie wordt gedetecteerd, haalt de dropper de juiste malwarepayload op basis van de processorarchitectuur van het slachtoffer, inclusief varianten voor MIPS-, MIPS64-, MIPSEL- en MIPSEL64-systemen. Na uitvoering verwijdert de gedownloade malware zichzelf van de schijf om forensisch onderzoek te bemoeilijken.
Geavanceerde verkennings- en adaptieve scanmogelijkheden
Het primaire doel van de malware is het verzamelen van inlichtingen, en niet zozeer directe exploitatie. Eenmaal actief, maakt de malware een digitale vingerafdruk van de geïnfecteerde host, ontvangt scanopdrachten van de centrale commandostructuur, voert grootschalige netwerkscans uit, verzamelt responsgegevens zoals TLS-certificaten en servicemetadata, en rapporteert de bevindingen terug aan de dispatchservers.
De scanengine is zeer adaptief en past zijn gedrag aan op basis van de beschikbare rechten op het geïnfecteerde apparaat:
Wanneer root-toegang beschikbaar is, opent de malware raw sockets en voert snelle SYN-scans uit met behulp van speciaal geconstrueerde TCP-pakketten.
Wanneer verhoogde privileges niet beschikbaar zijn, of wanneer webgebaseerde verkenning vereist is, maakt het gebruik van standaard TCP- en TLS-verbindingen en kan het ook gebruikmaken van UDP- en ICMP-gebaseerde testtechnieken.
Deze flexibiliteit stelt JDY in staat de effectiviteit van verkenningen te maximaliseren in een breed scala aan gecompromitteerde systemen.
Een permanente verkenningscapaciteit voor Chinese dreigingsactoren
Onderzoekers zijn van mening dat de via JDY verzamelde informatie ondersteuning biedt bij operaties voor het opsporen van activa, workflows voor het opsporen van kwetsbaarheden en platforms voor latere exploitatie of het orkestreren van aanvallen.
Het botnet illustreert hoe moderne IoT- en SOHO-apparaatnetwerken steeds meer worden omgevormd tot platforms voor snelle verkenning, die in staat zijn om kwetsbare infrastructuur te identificeren kort nadat beveiligingslekken openbaar worden. De voortdurende groei ervan toont aan dat het verstoren van individuele clusters of knooppunten de onderliggende functionaliteit niet per se elimineert.
De transformatie van JDY van een ondersteunend element van het KV-botnet naar een onafhankelijk, krachtig verkenningsplatform benadrukt de volharding en het aanpassingsvermogen van moderne cyberdreigingsecosystemen. Zelfs na pogingen om het botnet uit te schakelen, blijft de infrastructuur evolueren en biedt het tegenstanders bruikbare informatie voor gerichte aanvallen, vaak binnen enkele uren na de ontdekking van een nieuwe kwetsbaarheid.
