JDY僵尸网络
网络安全研究人员发现,与中国结盟的国家支持型威胁行为体有关联的隐蔽网络 JDY 出现显著复苏和扩张。JDY 最初于 2023 年 12 月被发现,当时它是大型 KV 僵尸网络基础设施中的一个集群,如今已发展成为一个独立且高效的侦察平台。
该网络由超过1500台被入侵的小型办公室/家庭办公室(SOHO)和物联网(IoT)设备组成。JDY并非主要用于直接攻击,而是作为一个集中管理的高性能扫描系统,能够大规模地发现、识别并持续映射暴露在互联网上的服务。
包括“伏特台风”在内的中国威胁组织此前曾利用该网络支持情报收集和目标识别工作。
目录
KV僵尸网络被摧毁后的应对措施
2024年初,美国政府摧毁了KV僵尸网络后,JDY的运营者改变了其行动方式。虽然一个次要的KV集群基本消失,但JDY仍在不断发展壮大。研究人员认为,其基础设施可能与多个中国黑客组织共享,同时也被运营者直接用于侦察活动。
最新调查显示,该恶意软件目前攻击的目标设备范围更广,并作为大型扫描生态系统中的数据收集层。JDY收集的结构化侦察信息被输入到系统中,用于辅助目标选择和后续的攻击活动。
尤其令人担忧的是,在系统漏洞公开披露后,JDY能够迅速识别出存在漏洞的系统。这种行为表明,存在一个组织严密的侦察行动,其侦察结果随后被中国国家行为体利用。
快速增长和全球扩张
该僵尸网络规模显著增长,从2024年1月的约650台受感染设备激增至超过1500台。大多数受感染节点位于美国和巴西,欧洲和亚洲也有少量分布。巴西设备数量的增长反映了一个更广泛的趋势,即僵尸网络越来越依赖于巴西境内的受感染系统。
JDY的设备生态系统也变得更加多样化。早期版本主要依赖于思科RV320和RV325路由器,而目前的网络则包含了来自多家供应商的硬件:
- 思科
- 阿拉克尼斯
- 含羞草网络
- 优比奎蒂
这种多样性增强了网络的韧性,并扩大了其运营范围。
融入合法互联网流量
JDY 的基础设施很大一部分由位于美国的小型办公室/家庭办公室 (SOHO) 和物联网 (IoT) 设备组成。这种分布使得运营商能够绕过许多传统的安全控制措施,包括地理围栏限制、IP 信誉过滤和静态黑名单。
通过将侦察活动分散到数千个被入侵的IP地址上,攻击者降低了单个系统被识别并屏蔽为扫描源的可能性。此外,利用合法的消费者和小型企业设备,恶意流量能够更自然地融入正常的互联网活动中,从而显著增加检测难度。
为隐蔽性而设计的分层基础设施
JDY 采用复杂的分层架构运行。攻击者利用 Tor 节点管理命令与控制 (C2) 基础设施和有效载荷分发服务器,从而帮助隐藏其行动活动。
C2服务器并非进行无差别的全网扫描,而是将针对性的侦察和分析任务分配给受感染的设备。收集到的情报会传输回中央服务器,在那里进行汇总和分析,以支持更广泛的中国网络行动和战略目标。
利用新披露的漏洞
与 JDY 相关的攻击链经常利用边缘设备中新发布的漏洞,包括 CVE-2026-35616 等漏洞。成功利用这些漏洞会触发 shell 脚本投放器的投放,该投放器首先检查恶意软件是否已存在于目标系统上。
如果未检测到活动感染,投放器会根据受害者的处理器架构(包括 MIPS、MIPS64、MIPSEL 和 MIPSEL64 系统)下载相应的恶意软件有效载荷。下载的恶意软件执行后会从磁盘中删除自身,以降低取证的可见性。
先进的侦察和自适应扫描能力
该恶意软件的主要目的是收集情报,而非直接利用漏洞。一旦激活,它会对受感染主机进行指纹识别,从中央指挥基础设施接收扫描任务,执行大规模网络探测,收集响应数据(例如 TLS 证书和服务元数据),并将探测结果报告给调度服务器。
它的扫描引擎具有高度自适应性,会根据受感染设备上的可用权限调整其行为:
当获得 root 权限时,恶意软件会打开原始套接字,并使用定制的 TCP 数据包执行高速 SYN 扫描。
当无法获得更高的权限,或者需要进行基于 Web 的侦察时,它依赖于标准的 TCP 和 TLS 连接,也可以采用基于 UDP 和 ICMP 的探测技术。
这种灵活性使 JDY 能够在各种受损系统中最大限度地提高侦察效率。
中国威胁行为者的持续侦察能力
研究人员认为,通过 JDY 收集的情报支持资产发现操作、漏洞目标工作流程以及下游利用或攻击编排平台。
僵尸网络表明,现代物联网和小型办公室/家庭办公室 (SOHO) 设备网络正日益转变为快速响应侦察平台,能够在安全漏洞公开后迅速识别易受攻击的基础设施。其持续增长表明,破坏单个集群或节点并不一定能消除其底层能力。
JDY从KV僵尸网络的辅助组件转型为独立的高性能侦察平台,凸显了现代网络威胁生态系统的持久性和适应性。即使在被清除之后,其基础设施仍在不断演进,为攻击者提供可操作的目标情报,而且往往在新漏洞披露后的数小时内就能实现。
