Los investigadores de ciberseguridad han advertido sobre el «resurgimiento y expansión» de JDY, una red secreta asociada con actores de amenazas patrocinados por el Estado vinculados a China.
«La botnet JDY está compuesta por más de 1.500 SOHO (pequeñas oficinas y oficinas domésticas) y dispositivos IoT que funcionan como un escáner centralizado de alto rendimiento utilizado para descubrir, tomar huellas dactilares y mapear continuamente servicios expuestos a escala», dijo Black Lotus Labs de Lumen en un informe compartido con The Hacker News.
JDY se marcó por primera vez a mediados de diciembre de 2023 como un clúster dentro de otra botnet con nombre en código KV Botnet. Utilizadas principalmente para el escaneo generalizado de objetivos de Internet, grupos de piratas informáticos chinos como Bolt Typhoon han utilizado redes sigilosas que consisten en enrutadores SOHO, firewalls y dispositivos IoT comprometidos.
Después de que el gobierno de EE. UU. eliminara la botnet KV a principios de 2024, el operador de la botnet comenzó a cambiar el comportamiento de su red y el segundo clúster KV quedó fuera de línea en gran medida. Se sospecha que esta botnet es atendida por varias organizaciones de piratería, y los operadores realizan su propio reconocimiento y localización.
Los últimos hallazgos de Black Lotus Labs indican que el malware está ampliando su alcance para infectar una gama más amplia de dispositivos, actuando como un conducto para alimentar «datos de reconocimiento estructurados» a un ecosistema de escaneo más grande para su posterior identificación y explotación de objetivos.
Específicamente, los clústeres JDY se están utilizando para realizar escaneos específicos y tomas de huellas digitales de servicios con el objetivo de señalar infraestructuras vulnerables después de la publicación. Esto representa una operación de reconocimiento industrializada, cuyos resultados están siendo explotados por grupos de Estados-nación chinos.
A esto le siguió una expansión en el tamaño de la botnet, que se disparó de 650 bots a principios de enero de 2024 a más de 1.500 dispositivos comprometidos. La mayoría de los nodos pirateados se encuentran en Estados Unidos y Brasil, seguidos de Europa y Asia.
Si bien los clústeres anteriores utilizaban principalmente enrutadores Cisco RV320 y RV325, la composición actual de la botnet es más diversa e incluye dispositivos de Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision y Linksys.
«La gran cantidad de dispositivos SOHO/IoT con sede en EE. UU. de la botnet permite a los operadores de botnets eludir las defensas y los controles tradicionales basados en IP, como geofencing, detección basada en reputación de IP y listas de bloqueo estáticas», dijo Black Lotus Labs.
«Los operadores distribuyen sus esfuerzos de escaneo y reconocimiento a través de una amplia gama de direcciones IP, lo que hace menos probable que una sola IP sea etiquetada como escáner y bloqueada. Además, el uso de dispositivos SOHO e IoT comprometidos ayuda a que esta actividad se mezcle con el tráfico legítimo de usuarios».
La arquitectura que impulsa las botnets puede describirse mejor como en capas. Los operadores utilizan nodos Tor para gestionar la infraestructura infectada, incluidos servidores de comando y control (C2) y servidores de carga útil. El servidor C2 indica al robot que realice un reconocimiento específico y una elaboración de perfiles del sistema en lugar de un escaneo indiscriminado. Los resultados del escaneo se envían a un servidor central para una recopilación continua de inteligencia para promover los objetivos del actor de amenazas chino.
Armada con vulnerabilidades recientemente reveladas en dispositivos perimetrales (como CVE-2026-35616), la cadena de ataque ofrece un cuentagotas de script de shell que verifica si el malware ya está activo y, en caso contrario, comienza a descargar la carga útil principal según la arquitectura del procesador detectada (como mips, mips64, mipsel o mipsel64). Una vez que se inicia el malware, se elimina del disco.
Al facilitar el escaneo y el reconocimiento de objetivos, el malware está diseñado para tomar huellas dactilares de un host, recibir tareas de escaneo desde un servidor C2 central, realizar una gran cantidad de sondas asistidas por TCP, SSL, UDP e ICMP, capturar respuestas (certificados TLS, metadatos, etc.) e informar los resultados a un servidor de envío. El objetivo es realizar reconocimiento de infraestructura, no explotación.
Una característica notable de este malware es su capacidad para adaptar su método de escaneo según los privilegios del sistema local. Si se puede abrir un socket sin formato que indique privilegios de root, inicia un escaneo SYN rápido utilizando paquetes TCP personalizados. Si los sockets sin formato no están disponibles o la tarea es un escaneo web, el motor de escaneo utiliza conexiones o protocolos TCP y TLS estándar como UDP e ICMP.
Es más probable que esta actividad proporcione información para el descubrimiento de activos, las vulnerabilidades dirigidas a los oleoductos y los sistemas de coordinación de ataques y explotación posteriores, dijo la firma de ciberseguridad.
«JDY demuestra cómo las botnets IoT/SOHO y las redes encubiertas de dispositivos comprometidos se están utilizando para una rápida explotación de vulnerabilidades», dijo la compañía. «El crecimiento y las operaciones continuas de JDY demuestran cómo las redes de reconocimiento modernas pueden sobrevivir a la interrupción y adaptarse como capacidades duraderas dentro de un ecosistema adversario más amplio».
«La evolución de JDY de un componente de soporte de la botnet KV a una capacidad de reconocimiento independiente y de alto rendimiento demuestra que la funcionalidad subyacente no se pierde cuando se interrumpen nodos o clústeres individuales. Continúa sobreviviendo, adaptándose y proporcionando datos de orientación oportunos a los atacantes, a menudo a las pocas horas de que se revele una vulnerabilidad».
Source link
