Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Botnet JDY

Botnet JDY

Por Mezo em Redes de Bots, Ameaça Persistente Avançada (APT)
Traduzir Para:

Pesquisadores de cibersegurança identificaram um ressurgimento e expansão significativos da JDY, uma rede secreta ligada a agentes de ameaças patrocinados pelo Estado e alinhados à China. Detectada originalmente em dezembro de 2023 como um cluster dentro da infraestrutura maior da botnet KV, a JDY evoluiu para uma plataforma de reconhecimento independente e altamente eficaz.

A rede consiste em mais de 1.500 dispositivos comprometidos de pequenos escritórios/escritórios domésticos (SOHO) e da Internet das Coisas (IoT). Em vez de ser usada principalmente para ataques diretos, a JDY funciona como um sistema de varredura de alto desempenho gerenciado centralmente, capaz de descobrir, identificar e mapear continuamente serviços expostos à internet em larga escala.

Grupos de ameaças chineses, incluindo o Volt Typhoon, já utilizaram a rede para apoiar a coleta de informações e os esforços de identificação de alvos.

Adaptação após a desativação da botnet KV

Após o governo dos EUA desmantelar a botnet KV no início de 2024, os operadores da JDY modificaram seu comportamento operacional. Embora um cluster secundário da KV tenha praticamente desaparecido, a JDY continuou a evoluir e se expandir. Pesquisadores acreditam que a infraestrutura pode estar sendo compartilhada com diversos grupos de hackers chineses, além de ser usada diretamente por seus operadores para atividades de reconhecimento.

Investigações recentes revelam que o malware agora atinge uma gama muito mais ampla de dispositivos e serve como uma camada de coleta de dados dentro de um ecossistema de varredura maior. As informações de reconhecimento estruturadas coletadas pelo JDY são inseridas em sistemas que facilitam a seleção de alvos e as subsequentes atividades de exploração.

Particularmente preocupante é o papel da JDY na rápida identificação de sistemas vulneráveis após a divulgação pública dessas vulnerabilidades. Esse comportamento sugere a existência de uma operação de reconhecimento altamente organizada, cujas descobertas são posteriormente utilizadas por agentes do Estado chinês.

Crescimento rápido e expansão global

A botnet apresentou um crescimento substancial, passando de aproximadamente 650 dispositivos infectados em janeiro de 2024 para mais de 1.500 sistemas comprometidos. A maioria dos nós infectados está localizada nos Estados Unidos e no Brasil, com concentrações adicionais na Europa e na Ásia. O número crescente de dispositivos brasileiros reflete uma tendência mais ampla na qual as botnets dependem cada vez mais de sistemas comprometidos no Brasil.

O ecossistema de dispositivos da JDY também se tornou consideravelmente mais diversificado. Enquanto as versões anteriores dependiam principalmente dos roteadores Cisco RV320 e RV325, a rede atual inclui hardware de vários fornecedores:

  • Cisco
  • Araknis
  • Redes Mimosa
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Essa diversidade fortalece a resiliência da rede e amplia seu alcance operacional.

Misturando-se ao tráfego legítimo da internet

Uma parte significativa da infraestrutura da JDY é composta por dispositivos SOHO e IoT baseados nos EUA. Essa distribuição permite que os operadores contornem muitos controles de segurança tradicionais, incluindo restrições de geolocalização, filtragem de reputação de IP e listas de bloqueio estáticas.

Ao distribuir a atividade de reconhecimento por milhares de endereços IP comprometidos, os operadores reduzem a probabilidade de que qualquer sistema individual seja identificado e bloqueado como fonte de varredura. Além disso, o uso de dispositivos legítimos de consumidores e pequenas empresas permite que o tráfego malicioso se misture de forma mais natural com a atividade comum da internet, tornando a detecção significativamente mais difícil.

Infraestrutura em camadas projetada para discrição

O JDY opera por meio de uma arquitetura sofisticada e em camadas. Os agentes de ameaças usam nós Tor para gerenciar tanto a infraestrutura de Comando e Controle (C2) quanto os servidores de entrega de payloads, ajudando a ocultar a atividade operacional.

Em vez de realizar varreduras indiscriminadas em toda a internet, os servidores de comando e controle (C2) atribuem tarefas de reconhecimento e perfilamento direcionadas a dispositivos infectados. As informações coletadas são transmitidas de volta para servidores centralizados, onde são agregadas e analisadas para apoiar operações cibernéticas chinesas mais amplas e objetivos estratégicos.

Exploração de vulnerabilidades recentemente divulgadas

As cadeias de ataque associadas ao JDY frequentemente exploram vulnerabilidades recém-publicadas em dispositivos de borda, incluindo vulnerabilidades como a CVE-2026-35616. A exploração bem-sucedida aciona a distribuição de um dropper em shell script que primeiro verifica se o malware já está presente no sistema alvo.

Caso nenhuma infecção ativa seja detectada, o dropper baixa o payload de malware apropriado com base na arquitetura do processador da vítima, incluindo variantes para sistemas MIPS, MIPS64, MIPSEL e MIPSEL64. Após a execução, o malware baixado se remove do disco para reduzir a visibilidade forense.

Capacidades avançadas de reconhecimento e varredura adaptativa

O objetivo principal do malware é a coleta de informações, e não a exploração direta. Uma vez ativo, ele identifica o host comprometido, recebe tarefas de varredura da infraestrutura de comando central, realiza sondagens de rede em larga escala, coleta dados de resposta, como certificados TLS e metadados de serviço, e envia relatórios com suas descobertas para os servidores de despacho.

Seu mecanismo de varredura é altamente adaptável e ajusta seu comportamento de acordo com os privilégios disponíveis no dispositivo infectado:

Quando o acesso de nível root está disponível, o malware abre sockets brutos e realiza varreduras SYN de alta velocidade usando pacotes TCP personalizados.
Quando privilégios elevados não estão disponíveis, ou quando é necessário reconhecimento baseado na web, o sistema utiliza conexões TCP e TLS padrão e também pode empregar técnicas de sondagem baseadas em UDP e ICMP.

Essa flexibilidade permite que a JDY maximize a eficácia do reconhecimento em uma ampla gama de sistemas comprometidos.

Uma capacidade de reconhecimento persistente para agentes de ameaça chineses.

Os pesquisadores acreditam que as informações coletadas por meio do JDY dão suporte a operações de descoberta de ativos, fluxos de trabalho de identificação de vulnerabilidades e plataformas subsequentes de exploração ou orquestração de ataques.

A botnet ilustra como as redes modernas de dispositivos IoT e SOHO estão sendo cada vez mais transformadas em plataformas de reconhecimento de resposta rápida, capazes de identificar infraestruturas vulneráveis logo após a divulgação de falhas de segurança. Seu crescimento contínuo demonstra que a interrupção de clusters ou nós individuais não elimina necessariamente a capacidade subjacente.

A transformação do JDY, de um elemento de apoio da botnet KV para uma plataforma de reconhecimento independente e de alto desempenho, destaca a persistência e a adaptabilidade dos ecossistemas modernos de ameaças cibernéticas. Mesmo após esforços de desmantelamento, a infraestrutura continua a evoluir, fornecendo aos adversários informações acionáveis sobre alvos, muitas vezes em questão de horas após a divulgação de uma nova vulnerabilidade.

Tendendo

Mais visto

Carregando...