JDY Botnet

Các nhà nghiên cứu an ninh mạng đã xác định được sự trỗi dậy và mở rộng đáng kể của JDY, một mạng lưới bí mật liên kết với các tác nhân đe dọa do nhà nước Trung Quốc tài trợ. Ban đầu được phát hiện vào tháng 12 năm 2023 như một cụm máy chủ trong cơ sở hạ tầng mạng botnet KV lớn hơn, JDY đã phát triển thành một nền tảng trinh sát độc lập, hiệu quả cao.

Mạng lưới này bao gồm hơn 1.500 thiết bị văn phòng nhỏ/văn phòng tại nhà (SOHO) và thiết bị Internet vạn vật (IoT) bị xâm nhập. Thay vì được sử dụng chủ yếu cho các cuộc tấn công trực tiếp, JDY hoạt động như một hệ thống quét hiệu suất cao được quản lý tập trung, có khả năng phát hiện, nhận dạng và liên tục lập bản đồ các dịch vụ được phơi bày trên internet trên quy mô lớn.

Các nhóm khủng bố Trung Quốc, bao gồm cả Volt Typhoon, trước đây đã tận dụng mạng lưới này để hỗ trợ các nỗ lực thu thập thông tin tình báo và xác định mục tiêu.

Sự thích nghi sau khi triệt phá mạng botnet KV.

Sau khi chính phủ Mỹ triệt phá mạng botnet KV vào đầu năm 2024, các nhà điều hành JDY đã thay đổi hành vi hoạt động của chúng. Mặc dù cụm KV thứ cấp gần như biến mất, JDY vẫn tiếp tục phát triển và mở rộng. Các nhà nghiên cứu tin rằng cơ sở hạ tầng này có thể được chia sẻ với nhiều nhóm tin tặc Trung Quốc, đồng thời cũng được chính các nhà điều hành sử dụng trực tiếp cho các hoạt động trinh sát.

Các cuộc điều tra gần đây cho thấy phần mềm độc hại này hiện nhắm mục tiêu vào nhiều thiết bị hơn và hoạt động như một lớp thu thập dữ liệu trong một hệ sinh thái quét lớn hơn. Thông tin trinh sát có cấu trúc được JDY thu thập được sẽ được đưa vào các hệ thống hỗ trợ việc lựa chọn mục tiêu và các hoạt động khai thác tiếp theo.

Đặc biệt đáng lo ngại là vai trò của JDY trong việc nhanh chóng xác định các hệ thống dễ bị tổn thương sau khi các lỗ hổng được công khai. Hành vi này cho thấy sự tồn tại của một hoạt động trinh sát được tổ chức rất bài bản, và những phát hiện của hoạt động này sau đó được các tác nhân nhà nước Trung Quốc sử dụng.

Tăng trưởng nhanh chóng và mở rộng toàn cầu

Mạng botnet này đã phát triển mạnh mẽ, tăng từ khoảng 650 thiết bị bị nhiễm vào tháng 1 năm 2024 lên hơn 1.500 hệ thống bị xâm nhập. Hầu hết các nút bị nhiễm nằm ở Hoa Kỳ và Brazil, cùng với một số tập trung khác ở châu Âu và châu Á. Số lượng thiết bị ở Brazil ngày càng tăng phản ánh xu hướng rộng hơn, trong đó các mạng botnet ngày càng dựa vào các hệ thống bị xâm nhập ở Brazil.

Hệ sinh thái thiết bị của JDY cũng trở nên đa dạng hơn đáng kể. Trong khi các phiên bản trước chủ yếu dựa vào bộ định tuyến Cisco RV320 và RV325, mạng lưới hiện tại bao gồm phần cứng từ nhiều nhà cung cấp khác nhau:

• Cisco
• Araknis
• Mạng lưới Mimosa
• Ubiquiti

Sự đa dạng này củng cố khả năng phục hồi của mạng lưới và mở rộng phạm vi hoạt động của nó.

Hòa nhập vào lưu lượng truy cập Internet hợp pháp

Một phần đáng kể cơ sở hạ tầng của JDY bao gồm các thiết bị SOHO và IoT đặt tại Hoa Kỳ. Sự phân bổ này cho phép các nhà mạng bỏ qua nhiều biện pháp kiểm soát an ninh truyền thống, bao gồm các hạn chế về vị trí địa lý, lọc theo uy tín IP và danh sách chặn tĩnh.

Bằng cách phân tán hoạt động trinh sát trên hàng nghìn địa chỉ IP bị xâm nhập, những kẻ điều hành giảm thiểu khả năng bất kỳ hệ thống nào bị nhận dạng và chặn lại như một nguồn quét. Hơn nữa, việc sử dụng các thiết bị hợp pháp của người tiêu dùng và doanh nghiệp nhỏ cho phép lưu lượng truy cập độc hại hòa lẫn một cách tự nhiên hơn với hoạt động internet thông thường, khiến việc phát hiện trở nên khó khăn hơn đáng kể.

Cơ sở hạ tầng nhiều lớp được thiết kế để hoạt động bí mật.

JDY hoạt động thông qua một kiến trúc phức tạp, nhiều lớp. Các tác nhân đe dọa sử dụng các nút Tor để quản lý cả cơ sở hạ tầng Chỉ huy và Kiểm soát (C2) và các máy chủ phân phối tải trọng, giúp che giấu hoạt động.

Thay vì thực hiện các cuộc quét mạng tràn lan, các máy chủ C2 giao nhiệm vụ trinh sát và lập hồ sơ mục tiêu cho các thiết bị bị nhiễm. Thông tin thu thập được sẽ được truyền về các máy chủ tập trung, nơi nó được tổng hợp và phân tích để hỗ trợ các hoạt động mạng và mục tiêu chiến lược rộng lớn hơn của Trung Quốc.

Khai thác các lỗ hổng bảo mật mới được phát hiện

Các chuỗi tấn công liên quan đến JDY thường lợi dụng các lỗ hổng mới được công bố trên các thiết bị biên, bao gồm cả các lỗ hổng như CVE-2026-35616. Việc khai thác thành công sẽ kích hoạt việc phân phối một tập lệnh shell, tập lệnh này trước tiên sẽ kiểm tra xem phần mềm độc hại đã có mặt trên hệ thống mục tiêu hay chưa.

Nếu không phát hiện thấy sự lây nhiễm nào đang hoạt động, phần mềm phát tán sẽ tải xuống phần mềm độc hại phù hợp dựa trên kiến trúc bộ xử lý của nạn nhân, bao gồm các biến thể cho hệ thống MIPS, MIPS64, MIPSEL và MIPSEL64. Sau khi được thực thi, phần mềm độc hại đã tải xuống sẽ tự xóa khỏi ổ đĩa để giảm khả năng bị phát hiện trong quá trình điều tra.

Khả năng trinh sát nâng cao và quét thích ứng

Mục đích chính của phần mềm độc hại này là thu thập thông tin tình báo chứ không phải khai thác trực tiếp. Sau khi kích hoạt, nó sẽ nhận dạng máy chủ bị xâm nhập, nhận nhiệm vụ quét từ cơ sở hạ tầng chỉ huy trung tâm, thực hiện dò quét mạng quy mô lớn, thu thập dữ liệu phản hồi như chứng chỉ TLS và siêu dữ liệu dịch vụ, và báo cáo kết quả về máy chủ điều phối.

Công cụ quét của nó có khả năng thích ứng cao và tự điều chỉnh hoạt động dựa trên các quyền hạn có sẵn trên thiết bị bị nhiễm:

Khi có quyền truy cập cấp root, phần mềm độc hại sẽ mở các socket thô và thực hiện quét SYN tốc độ cao bằng cách sử dụng các gói TCP được tạo riêng.
Khi không có quyền quản trị cao hơn, hoặc khi cần thực hiện trinh sát trên web, nó dựa vào các kết nối TCP và TLS tiêu chuẩn và cũng có thể sử dụng các kỹ thuật dò tìm dựa trên UDP và ICMP.

Tính linh hoạt này cho phép JDY tối đa hóa hiệu quả trinh sát trên nhiều hệ thống bị xâm nhập khác nhau.

Khả năng trinh sát liên tục đối với các tác nhân đe dọa từ Trung Quốc

Các nhà nghiên cứu tin rằng thông tin tình báo thu thập được thông qua JDY hỗ trợ các hoạt động phát hiện tài sản, quy trình nhắm mục tiêu lỗ hổng và các nền tảng điều phối tấn công hoặc khai thác tiếp theo.

Mạng botnet này minh họa cách các mạng thiết bị IoT và SOHO hiện đại đang ngày càng được chuyển đổi thành các nền tảng trinh sát phản ứng nhanh, có khả năng xác định cơ sở hạ tầng dễ bị tổn thương ngay sau khi các lỗ hổng bảo mật được công khai. Sự phát triển liên tục của nó cho thấy rằng việc phá vỡ các cụm hoặc nút riêng lẻ không nhất thiết loại bỏ khả năng cơ bản của hệ thống.

Sự chuyển đổi của JDY từ một yếu tố hỗ trợ của mạng botnet KV thành một nền tảng trinh sát độc lập, hiệu suất cao, cho thấy sự bền bỉ và khả năng thích ứng của hệ sinh thái mối đe dọa mạng hiện đại. Ngay cả sau các nỗ lực triệt phá, cơ sở hạ tầng vẫn tiếp tục phát triển, cung cấp cho kẻ thù thông tin tình báo mục tiêu có thể hành động được, thường chỉ trong vòng vài giờ sau khi một lỗ hổng mới được tiết lộ.