JDY Botnet
Natukoy ng mga mananaliksik sa cybersecurity ang isang makabuluhang muling pagkabuhay at paglawak ng JDY, isang lihim na network na nakaugnay sa mga aktor ng banta na itinataguyod ng estado na kaalyado ng Tsina. Orihinal na natukoy noong Disyembre 2023 bilang isang kumpol sa loob ng mas malaking imprastraktura ng KV-botnet, ang JDY ay umunlad at naging isang independiyente at lubos na epektibong plataporma ng pagmamanman.
Ang network ay binubuo ng mahigit 1,500 nakompromisong Small Office/Home Office (SOHO) at Internet of Things (IoT) device. Sa halip na pangunahing gamitin para sa mga direktang pag-atake, ang JDY ay gumagana bilang isang sentralisadong pinamamahalaang, high-performance scanning system na may kakayahang tumuklas, kumuha ng fingerprint, at patuloy na magmapa ng mga serbisyong nakalantad sa internet sa malawakang saklaw.
Dati nang ginamit ng mga grupong nagbabanta sa Tsina, kabilang ang Volt Typhoon, ang network upang suportahan ang pangangalap ng impormasyon at mga pagsisikap sa pagtukoy ng target.
Talaan ng mga Nilalaman
Adaptasyon Kasunod ng Pagtanggal ng KV-Botnet
Matapos buwagin ng gobyerno ng US ang KV-botnet noong unang bahagi ng 2024, binago ng mga operator ng JDY ang kanilang operasyon. Bagama't halos nawala ang isang pangalawang KV cluster, patuloy na umunlad at lumawak ang JDY. Naniniwala ang mga mananaliksik na ang imprastraktura ay maaaring ibinabahagi sa maraming grupo ng pag-hack ng Tsina habang direktang ginagamit din ng mga operator nito para sa mga aktibidad ng pagmamanman.
Ipinapakita ng mga kamakailang imbestigasyon na ang malware ngayon ay nagta-target ng mas malawak na hanay ng mga device at nagsisilbing isang layer ng pangongolekta ng data sa loob ng isang mas malaking ecosystem ng pag-scan. Ang nakabalangkas na impormasyon sa pagmamanman na nakalap ng JDY ay ipinapasok sa mga sistemang nagpapadali sa pagpili ng target at mga kasunod na aktibidad ng pagsasamantala.
Partikular na nakababahala ang papel ng JDY sa mabilis na pagtukoy sa mga mahihinang sistema kasunod ng mga pagsisiwalat ng kahinaan sa publiko. Ang pag-uugaling ito ay nagmumungkahi ng pagkakaroon ng isang lubos na organisadong operasyon ng pagmamanman na ang mga natuklasan ay kalaunan ay ginagamit ng mga aktor ng bansang-estado ng Tsina.
Mabilis na Paglago at Pandaigdigang Paglawak
Ang botnet ay nakaranas ng malaking paglago, mula sa humigit-kumulang 650 na nahawaang device noong Enero 2024 patungo sa mahigit 1,500 na nakompromisong system. Karamihan sa mga nahawaang node ay matatagpuan sa Estados Unidos at Brazil, na may karagdagang konsentrasyon sa buong Europa at Asya. Ang lumalaking bilang ng mga device sa Brazil ay sumasalamin sa mas malawak na trend kung saan ang mga botnet ay lalong umaasa sa mga nakompromisong system sa Brazil.
Ang ecosystem ng device ng JDY ay naging mas magkakaiba rin. Bagama't ang mga naunang bersyon ay pangunahing umaasa sa mga Cisco RV320 at RV325 router, ang kasalukuyang network ay kinabibilangan ng hardware mula sa maraming vendor:
- Cisco
- Araknis
- Mga Network ng Mimosa
- Ubiquiti
Ang pagkakaiba-iba na ito ay nagpapalakas sa katatagan ng network at nagpapalawak ng saklaw ng operasyon nito.
Pagsasama sa Lehitimong Trapiko sa Internet
Malaking bahagi ng imprastraktura ng JDY ay binubuo ng mga SOHO at IoT device na nakabase sa US. Ang distribusyon na ito ay nagbibigay-daan sa mga operator na malampasan ang maraming tradisyonal na kontrol sa seguridad, kabilang ang mga paghihigpit sa geofencing, pag-filter ng reputasyon ng IP, at mga static blocklist.
Sa pamamagitan ng pagpapalaganap ng aktibidad ng pagmamanman sa libu-libong nakompromisong IP address, binabawasan ng mga operator ang posibilidad na ang anumang sistema ay matukoy at maharangan bilang pinagmumulan ng pag-scan. Bukod pa rito, ang paggamit ng mga lehitimong device ng mga mamimili at maliliit na negosyo ay nagpapahintulot sa malisyosong trapiko na mas natural na humalo sa ordinaryong aktibidad sa internet, na nagpapahirap sa pagtukoy.
Layered Infrastructure na Dinisenyo para sa Stealth
Gumagana ang JDY sa pamamagitan ng isang sopistikado at layered na arkitektura. Ginagamit ng mga threat actor ang mga Tor node upang pamahalaan ang parehong Command-and-Control (C2) infrastructure at mga payload delivery server, na tumutulong sa pagtatago ng aktibidad sa operasyon.
Sa halip na magsagawa ng walang habas na mga pag-scan sa buong internet, ang mga C2 server ay nagtatalaga ng mga naka-target na gawain sa pagmamanman at pag-profile sa mga nahawaang device. Ang nakolektang impormasyon ay ipinapadala pabalik sa mga sentralisadong server, kung saan ito ay pinagsama-sama at sinusuri upang suportahan ang mas malawak na mga operasyon sa cyber at mga estratehikong layunin ng Tsina.
Pagsasamantala sa mga Bagong Isiniwalat na Kahinaan
Ang mga attack chain na nauugnay sa JDY ay kadalasang ginagamit ang mga bagong nailathalang kahinaan sa mga edge device, kabilang ang mga kahinaan tulad ng CVE-2026-35616. Ang matagumpay na paggamit ay nagpapalitaw sa paghahatid ng isang shell-script dropper na unang sumusuri kung ang malware ay naroroon na sa target na sistema.
Kung walang natukoy na aktibong impeksyon, kinukuha ng dropper ang naaangkop na payload ng malware batay sa arkitektura ng processor ng biktima, kabilang ang mga variant para sa mga sistemang MIPS, MIPS64, MIPSEL, at MIPSEL64. Kapag naisagawa na, inaalis ng na-download na malware ang sarili nito mula sa disk upang mabawasan ang forensic visibility.
Mga Kakayahan sa Advanced Reconnaissance at Adaptive Scanning
Ang pangunahing layunin ng malware ay ang pangangalap ng impormasyon sa halip na direktang pagsasamantala. Kapag aktibo na, tinitingnan nito ang mga fingerprint ng nakompromisong host, tumatanggap ng mga scanning assignment mula sa central command infrastructure, nagsasagawa ng malawakang network probing, nangongolekta ng mga tugon tulad ng mga TLS certificate at service metadata, at iniuulat ang mga natuklasan pabalik sa mga dispatch server.
Ang scanning engine nito ay lubos na nakakapag-agpang at inaayos ang kilos nito ayon sa mga pribilehiyong magagamit sa nahawaang device:
Kapag may available na root-level access, binubuksan ng malware ang mga raw socket at nagsasagawa ng high-speed SYN scanning gamit ang mga custom-crafted na TCP packet.
Kapag hindi magagamit ang mga mataas na pribilehiyo, o kapag kinakailangan ang web-based reconnaissance, umaasa ito sa mga karaniwang koneksyon ng TCP at TLS at maaari ring gumamit ng mga pamamaraan ng probing na nakabatay sa UDP at ICMP.
Ang kakayahang umangkop na ito ay nagbibigay-daan sa JDY na mapakinabangan ang bisa ng pagmamanman sa malawak na hanay ng mga nakompromisong sistema.
Isang Patuloy na Kakayahang Magmamanman para sa mga Aktor na Nagbabanta sa Tsina
Naniniwala ang mga mananaliksik na ang impormasyong nakalap sa pamamagitan ng JDY ay sumusuporta sa mga operasyon sa pagtuklas ng asset, mga daloy ng trabaho sa pag-target sa kahinaan, at mga downstream exploitation o attack orchestration platform.
Inilalarawan ng botnet kung paano ang mga modernong network ng IoT at SOHO device ay lalong binabago tungo sa mga rapid-response reconnaissance platform na may kakayahang matukoy ang mga mahinang imprastraktura ilang sandali matapos maging publiko ang mga depekto sa seguridad. Ang patuloy na paglago nito ay nagpapakita na ang paggambala sa mga indibidwal na kumpol o node ay hindi nangangahulugang inaalis ang pinagbabatayang kakayahan.
Ang pagbabago ng JDY mula sa pagiging isang sumusuportang elemento ng KV-botnet tungo sa isang independiyente at mataas na pagganap na plataporma ng pagmamanman ay nagpapakita ng pagtitiyaga at kakayahang umangkop ng mga modernong ekosistema ng mga banta sa cyber. Kahit na matapos ang mga pagsisikap sa pagtanggal, ang imprastraktura ay patuloy na umuunlad, na nagbibigay sa mga kalaban ng naaaksyunang katalinuhan sa pag-target, kadalasan sa loob ng ilang oras pagkatapos ng isang bagong pagsisiwalat ng kahinaan.
