Rabattoffert för flera licenser
Hotdatabas Botnät JDY Botnät

JDY Botnät

Med Mezo år Botnät, Advanced Persistent Threat (APT)
Översätt till:

Cybersäkerhetsforskare har identifierat en betydande återuppkomst och expansion av JDY, ett hemligt nätverk kopplat till Kina-allierade, statssponsrade hotaktörer. JDY upptäcktes ursprungligen i december 2023 som ett kluster inom den större KV-botnätsinfrastrukturen och har utvecklats till en oberoende och mycket effektiv spaningsplattform.

Nätverket består av mer än 1 500 komprometterade enheter för små kontor/hemmakontor (SOHO) och sakernas internet (IoT). Snarare än att användas främst för direkta attacker fungerar JDY som ett centralt hanterat, högpresterande skanningssystem som kan upptäcka, fingeravtrycka och kontinuerligt kartlägga internetexponerade tjänster i stor skala.

Kinesiska hotgrupper, inklusive Volt Typhoon, har tidigare utnyttjat nätverket för att stödja underrättelseinsamling och målidentifiering.

Anpassning efter KV-Botnet-nedtagningen

Efter att den amerikanska regeringen avvecklade KV-botnätet i början av 2024 ändrade JDY-operatörerna sitt operativa beteende. Medan ett sekundärt KV-kluster till stor del försvann fortsatte JDY att utvecklas och expandera. Forskare tror att infrastrukturen kan delas med flera kinesiska hackergrupper samtidigt som den används direkt av dess operatörer för rekognoseringsaktiviteter.

Nyligen genomförda undersökningar visar att skadlig kod nu riktar sig mot ett mycket bredare spektrum av enheter och fungerar som ett datainsamlingslager inom ett större skanningsekosystem. Strukturerad rekognoseringsinformation som samlas in av JDY matas in i system som underlättar målval och efterföljande utnyttjandeaktiviteter.

Särskilt oroande är JDY:s roll i att snabbt identifiera sårbara system efter offentliga avslöjanden om sårbarheter. Detta beteende tyder på att det finns en välorganiserad spaningsoperation vars resultat senare används av kinesiska nationalstatliga aktörer.

Snabb tillväxt och global expansion

Botnätet har upplevt en betydande tillväxt och ökat från cirka 650 infekterade enheter i januari 2024 till mer än 1 500 komprometterade system. De flesta infekterade noder finns i USA och Brasilien, med ytterligare koncentrationer i Europa och Asien. Det växande antalet brasilianska enheter återspeglar en bredare trend där botnät i allt högre grad förlitar sig på komprometterade system i Brasilien.

JDYs enhetsekosystem har också blivit betydligt mer mångsidigt. Medan tidigare versioner främst förlitade sig på Cisco RV320- och RV325-routrar, inkluderar det nuvarande nätverket hårdvara från flera leverantörer:

  • Cisco
  • Araknis
  • Mimosa Networks
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Denna mångfald stärker nätverkets motståndskraft och breddar dess operativa räckvidd.

Blanda sig med legitim internettrafik

En betydande del av JDYs infrastruktur består av USA-baserade SOHO- och IoT-enheter. Denna distribution gör det möjligt för operatörer att kringgå många traditionella säkerhetskontroller, inklusive geofencing-restriktioner, filtrering av IP-rykte och statiska blocklistor.

Genom att sprida rekognoseringsaktivitet över tusentals komprometterade IP-adresser minskar operatörerna sannolikheten för att ett enskilt system identifieras och blockeras som en skanningskälla. Dessutom gör användningen av legitima enheter för konsumenter och småföretag att skadlig trafik blandas mer naturligt med vanlig internetaktivitet, vilket gör upptäckt betydligt svårare.

Skiktad infrastruktur utformad för smygande

JDY fungerar genom en sofistikerad, lagerbaserad arkitektur. Hotaktörer använder Tor-noder för att hantera både kommando- och kontrollinfrastruktur (C2) och nyttolastleveransservrar, vilket hjälper till att dölja operativ aktivitet.

Istället för att utföra urskillningslösa internetövergripande skanningar tilldelar C2-servrarna riktade rekognoserings- och profileringsuppgifter till infekterade enheter. Den insamlade informationen överförs tillbaka till centraliserade servrar, där den aggregeras och analyseras för att stödja bredare kinesiska cyberoperationer och strategiska mål.

Utnyttjande av nyligen avslöjade sårbarheter

Attackkedjor associerade med JDY beväpnar ofta nyligen publicerade sårbarheter i edge-enheter, inklusive sårbarheter som CVE-2026-35616. Lyckad utnyttjande utlöser leverans av en shell-script dropper som först kontrollerar om skadlig kod redan finns på målsystemet.

Om ingen aktiv infektion upptäcks hämtar droppern lämplig nyttolast för skadlig kod baserat på offrets processorarkitektur, inklusive varianter för MIPS-, MIPS64-, MIPSEL- och MIPSEL64-system. När den har körts tar den nedladdade skadliga koden bort sig själv från disken för att minska den kriminaltekniska insynen.

Avancerade rekognoserings- och adaptiva skanningsfunktioner

Den skadliga programvarans primära syfte är underrättelseinsamling snarare än direkt utnyttjande. När den är aktiv tar den fingeravtryck från den komprometterade värden, tar emot skanningsuppdrag från den centrala kommandoinfrastrukturen, utför storskalig nätverksavsökning, samlar in svarsdata såsom TLS-certifikat och tjänstmetadata och rapporterar resultaten tillbaka till avsändningsservrarna.

Dess skanningsmotor är mycket anpassningsbar och justerar sitt beteende enligt de behörigheter som finns tillgängliga på den infekterade enheten:

När root-nivååtkomst är tillgänglig öppnar skadlig programvara råa sockets och utför höghastighets-SYN-skanning med hjälp av specialanpassade TCP-paket.
När utökade behörigheter inte är tillgängliga, eller när webbaserad rekognoscering krävs, förlitar den sig på standard TCP- och TLS-anslutningar och kan även använda UDP- och ICMP-baserade avsökningstekniker.

Denna flexibilitet gör det möjligt för JDY att maximera rekognoseringseffektiviteten över ett brett spektrum av komprometterade system.

En ihållande spaningsförmåga för kinesiska hotaktörer

Forskare tror att den information som samlats in genom JDY stöder operationer för att upptäcka tillgångar, arbetsflöden för att rikta in sig på sårbarheter och nedströms utnyttjande eller attackorkestreringsplattformar.

Botnätet illustrerar hur moderna IoT- och SOHO-enhetsnätverk i allt högre grad omvandlas till snabbresponsiga rekognoseringsplattformar som kan identifiera sårbar infrastruktur kort efter att säkerhetsbrister blir offentliga. Dess fortsatta tillväxt visar att störningar av enskilda kluster eller noder inte nödvändigtvis eliminerar den underliggande kapaciteten.

JDY:s omvandling från ett stödjande element i KV-botnätet till en oberoende, högpresterande spaningsplattform belyser den moderna cyberhotsekosystemens ihärdighet och anpassningsförmåga. Även efter nedmonteringsförsök fortsätter infrastrukturen att utvecklas, vilket ger motståndare handlingsbar information om målsökande attacker, ofta inom några timmar efter att en ny sårbarhet avslöjats.

Trendigt

Säkerhetsuppdatering för att identifiera betrodda...

Nätfiske, Spam
Oväntade e-postmeddelanden som kräver omedelbara åtgärder bör alltid behandlas med försiktighet, särskilt när de involverar säkerhetsvarningar för konton eller förfrågningar om att verifiera personlig information. Cyberbrottslingar döljer ofta nätfiskemeddelanden som officiella aviseringar för att manipulera mottagare att avslöja känslig information. E-postmeddelandena "Säkerhetsuppdatering för...

Mest sedda

Läser in...