Cybersecurity-onderzoekers hebben gewaarschuwd voor een “heropleving en uitbreiding” van JDYeen geheim netwerk dat verband houdt met door de Chinese staat gesponsorde dreigingsactoren.
“Het JDY-botnet omvat meer dan 1.500 SOHO- (kleine kantoren en thuiskantoren) en IoT-apparaten en werkt als een centraal bestuurde, krachtige scanner die wordt gebruikt om blootgestelde diensten op schaal te ontdekken, vingerafdrukken te maken en voortdurend in kaart te brengen”, aldus Lumen’s Black Lotus Labs in een rapport gedeeld met The Hacker News.
JDY werd medio december 2023 voor het eerst gemarkeerd als een cluster binnen een ander botnet met de codenaam KV-botnet. Het heimelijke netwerk, bestaande uit gecompromitteerde SOHO-routers, firewalls en IoT-apparaten, wordt voornamelijk gebruikt voor breder scannen tegen internetdoelen en is in gebruik genomen door Chinese hackgroepen zoals Volt Typhoon.
Nadat het KV-botnet begin 2024 door de Amerikaanse overheid werd uitgeschakeld, begonnen de botnetexploitanten gedragsveranderingen in het netwerk aan te brengen, waarbij het tweede KV-cluster grotendeels offline ging. Het vermoeden bestaat dat de operators het botnet aan verschillende hackers aanbieden, terwijl ze zelf verkenningen en targeting uitvoeren.
De nieuwste bevindingen van Black Lotus Labs laten zien dat de malware in omvang is uitgebreid om een breder scala aan apparaten te infecteren en als kanaal fungeert om ‘gestructureerde verkenningsgegevens’ in een groter scanning-ecosysteem te voeden voor daaropvolgende identificatie en exploitatie van doelen.
Concreet wordt het JDY-cluster gebruikt om gerichte scans en service-fingerprinting uit te voeren met als doel kwetsbare infrastructuur te markeren na openbare onthullingen. Dit wijst op een geïndustrialiseerde verkenningsinspanning, waarvan de resultaten worden benut door Chinese natiestatengroepen.
Dit werd aangevuld door een groei van de omvang van het botnet, die is gestegen van 650 bots begin januari 2024 naar meer dan 1.500 gecompromitteerde apparaten. De meeste gehackte knooppunten bevinden zich in de VS en Brazilië, gevolgd door Europa en Azië.
Waar voorheen het cluster voornamelijk uit Cisco RV320- en RV325-routers bestond, is de huidige samenstelling van het botnet een stuk diverser, inclusief apparaten van Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision en Linksys.
“Het grote aantal in de VS gevestigde SOHO/IoT-apparaten van het botnet stelt de botnetoperators in staat verdedigingsmechanismen en traditionele IP-gebaseerde controles te omzeilen, zoals geofencing, op IP-reputatie gebaseerde detectie en statische blokkeerlijsten”, aldus Black Lotus Labs.
“Door hun scan- en verkenningsactiviteiten over een breed scala aan IP-adressen te verdelen, maken de operators het minder waarschijnlijk dat een enkel IP-adres als scanner wordt bestempeld en geblokkeerd. Bovendien zorgt het gebruik van gecompromitteerde SOHO- en IoT-apparaten ervoor dat deze activiteit opgaat in legitiem gebruikersverkeer.”
De architectuur die het botnet aandrijft, kan het beste worden omschreven als gelaagd: de operators gebruiken Tor-nodes om de geïnfecteerde infrastructuur te beheren, inclusief zowel de command-and-control (C2) als de payload-servers. De C2-servers geven de bots opdracht om gerichte verkenningen en systeemprofilering uit te voeren, in plaats van willekeurig te scannen. De resultaten van de scans worden naar centrale servers gestuurd voor voortdurende inlichtingenverzameling in een poging de doelstellingen van Chinese dreigingsactoren te bevorderen.
Aanvalsketens bewapenen nieuw onthulde kwetsbaarheden in edge-apparaten (bijv. CVE-2026-35616) om een shell-script-dropper te leveren die controleert of de malware al actief is, en als dat niet het geval is, doorgaat met het downloaden van de primaire payload op basis van de gedetecteerde processorarchitectuur (bijv. mips, mips64, mipsel of mipsel64). Zodra de malware is gelanceerd, wordt deze van de schijf verwijderd.
De malware die scannen en doelverkenning mogelijk maakt, is ontworpen om vingerafdrukken van de host te maken, scantaken te ontvangen van een centrale C2-server, grootschalige TCP-, SSL-, UDP- en ICMP-ondersteunde onderzoeken uit te voeren, reacties vast te leggen (TLS-certificaten, metagegevens, enz.) en de resultaten terug te rapporteren aan de verzendserver. Het doel is om infrastructuurverkenning uit te voeren in plaats van exploitatie.
Een opmerkelijke functionaliteit van de malware is het vermogen om de scanmethodologie aan te passen op basis van de bevoegdheden op het lokale systeem. Als het een raw-socket kan openen, een indicatie van root-privileges, initieert het snelle SYN-scanning met behulp van op maat gemaakte TCP-pakketten. Als onbewerkte sockets niet beschikbaar zijn of als de taak een webscan is, neemt de scanengine zijn toevlucht tot het gebruik van standaard TCP- en TLS-verbindingen of gebruikt hij protocollen zoals UDP en ICMP.
Deze activiteit vormt hoogstwaarschijnlijk de basis voor het ontdekken van activa, het opsporen van kwetsbaarheden en downstream-exploitatie- of aanvalsorkestratiesystemen, aldus het cyberbeveiligingsbedrijf.
“JDY laat zien hoe IoT/SOHO-botnets en geheime netwerken van gecompromitteerde apparaten worden gebruikt voor snelle exploitatie van kwetsbaarheden”, aldus het bedrijf. “De groei en de voortdurende werking van JDY illustreren hoe moderne verkenningsnetwerken blijven bestaan ondanks verwijderingen en zich aanpassen als een duurzame mogelijkheid binnen een breder ecosysteem van tegenstanders.”
“De evolutie van JDY van een ondersteunend onderdeel van het KV-botnet naar een onafhankelijk, krachtig verkenningsvermogen toont aan dat verstoring van individuele knooppunten of clusters de onderliggende capaciteit niet elimineert. De mogelijkheid blijft bestaan, past zich aan en blijft tegenstanders voorzien van tijdige targetinggegevens, vaak binnen enkele uren na openbaarmaking van de kwetsbaarheid.”
