Pesquisadores de cibersegurança alertaram para uma “ressurgência e expansão” da JDY, uma rede oculta associada a agentes de ameaça ligados ao governo chinês.
A botnet JDY reúne mais de 1.500 dispositivos SOHO e IoT e opera como um scanner centralmente controlado e de alto desempenho, usado para descobrir, identificar e mapear continuamente serviços expostos em larga escala, afirmou a Black Lotus Labs, da Lumen, em relatório compartilhado.
Segundo os pesquisadores, a JDY foi identificada pela primeira vez como um cluster dentro da KV-botnet, em meados de dezembro de 2023. Usada principalmente para varreduras amplas contra alvos na internet, essa rede furtiva, formada por roteadores SOHO, firewalls e dispositivos IoT comprometidos, foi aproveitada por grupos chineses de hackers, como o Volt Typhoon.
Depois da derrubada da KV-botnet pelo governo dos Estados Unidos no início de 2024, os operadores passaram a fazer mudanças comportamentais na rede, e o segundo cluster da KV ficou, em grande parte, fora do ar. A suspeita é de que a botnet seja oferecida pelos operadores a diferentes grupos de hackers, ao mesmo tempo em que eles próprios realizam reconhecimento e direcionamento de ataques.
Os novos dados da Black Lotus Labs mostram que o malware ampliou seu alcance para infectar uma variedade maior de dispositivos e atuar como um canal para alimentar “dados estruturados de reconhecimento” em um ecossistema de varredura mais amplo, usado na identificação e na exploração de alvos posteriores. Na prática, o cluster JDY vem sendo usado para varredura direcionada e identificação de serviços, com o objetivo de sinalizar infraestruturas vulneráveis após divulgações públicas.
Isso aponta para um esforço industrializado de reconhecimento, cujos resultados são aproveitados por grupos de Estado chineses. Esse movimento foi acompanhado pelo crescimento da botnet, que saltou de 650 bots no início de janeiro de 2024 para mais de 1.500 dispositivos comprometidos.
A maioria dos nós invadidos está localizada nos Estados Unidos e no Brasil, seguidos por Europa e Ásia. Segundo a Black Lotus Labs, o forte peso de dispositivos SOHO comprometidos nos Estados Unidos ajuda os operadores a contornar defesas e controles tradicionais baseados em IP, como geofencing, detecção por reputação de IP e listas estáticas de bloqueio. Ao distribuir suas atividades de varredura e reconhecimento por uma ampla variedade de endereços IP, os operadores reduzem a chance de que qualquer IP específico seja rotulado como scanner e bloqueado, além de misturar sua atividade ao tráfego legítimo dos usuários.
Embora os números pareçam baixos, é importante observar que o JDY não é um framework de exploitation nem uma botnet de DDoS que dependa de grandes enxames para ganhar força. Trata-se, na prática, de uma rede distribuída de varredura e fingerprinting que ajuda seus operadores a localizar alvos vulneráveis a falhas recém-divulgadas.
“A análise dessa atividade mostra um foco claro na identificação de infraestrutura vulnerável logo após a divulgação pública de vulnerabilidades, sugerindo que a saída do reconhecimento é rapidamente convertida em operação por atores de ameaça avançada persistente (APT) com vínculos com a China”, diz o relatório da Black Lotus Labs. “Esse foco direcionado foi observado em vários setores, sendo o setor militar dos EUA e entidades associadas os mais proeminentes.”
A CISA já havia alertado para o risco representado por operadores do Volt Typhoon contra roteadores SOHO desprotegidos, recomendando que fornecedores de dispositivos de rede eliminem vulnerabilidades nas interfaces de gerenciamento web de roteadores SOHO durante as fases de design e desenvolvimento.
A botnet JDY foi projetada para realizar descoberta de serviços, coleta de banners de serviços, obtenção de certificados TLS, fingerprinting de protocolos e reconhecimento focado em falhas. O malware responsável por viabilizar a varredura e o reconhecimento dos alvos foi projetado para identificar a máquina hospedeira, receber tarefas de varredura de um servidor C2 central, realizar sondagens em alto volume com TCP, SSL, UDP e ICMP, capturar respostas, como certificados TLS e metadados, e reportar os resultados de volta ao servidor de despacho.
Os operadores controlam a botnet por meio de serviços ocultos na rede Tor, que também funcionam como infraestrutura de command and control (C2). A arquitetura que sustenta a botnet é descrita pelos pesquisadores como em camadas: nós Tor gerenciam a infraestrutura infectada, incluindo servidores C2 e servidores de payload, enquanto os servidores orientam os bots a realizar reconhecimento direcionado e perfilamento de sistemas, em vez de varreduras indiscriminadas. Em alguns casos, também é usado o framework open source Platypus, voltado para reverse shell e gerenciamento de hosts.
As cadeias de ataque exploram vulnerabilidades recém-divulgadas em dispositivos de borda, como a
CVE-2026-35616
, para entregar um dropper em shell script que verifica se o malware já está ativo e, caso contrário, baixa o payload principal com base na arquitetura do processador detectada, como mips, mips64, mipsel ou mipsel64. Pesquisadores da Lumen observaram varreduras do JDY mirando a
CVE-2026-35616
pouco depois de a Fortinet divulgar publicamente a falha no FortiClient EMS. Depois que o malware é executado, ele é apagado do disco.
O módulo de varredura oferece suporte a varredura TCP, SSL/TLS e UDP, probing ICMP, coleta de banners, coleta de certificados TLS e fingerprinting de serviços com uso de conjuntos de regras baixáveis. O cliente da botnet repete esse ciclo até que o operador ordene sua interrupção.
Uma funcionalidade importante do malware é a capacidade de adaptar a metodologia de varredura com base nos privilégios disponíveis no sistema local. Se conseguir abrir um raw socket, sinal de privilégios de root, ele inicia varreduras SYN em alta velocidade com pacotes TCP personalizados. Se raw sockets não estiverem disponíveis ou se a tarefa for uma varredura web, o mecanismo recorre a conexões padrão TCP e TLS ou usa protocolos como UDP e ICMP.
“A função de varredura TCP é uma das mais interessantes do ponto de vista técnico”, afirmam os pesquisadores. “Se o malware consegue abrir um socket bruto, o que geralmente exige privilégios de root ou administrativos, ele inicia uma varredura SYN em alta velocidade usando pacotes TCP personalizados.”
“Esses pacotes personalizados usam a porta de origem fixa 19.000, incrementam as portas de destino uma a uma e processam em lote milhares de alvos de varredura.”
Segundo a empresa de cibersegurança, essa atividade provavelmente alimenta processos de descoberta de ativos, fluxos de priorização de vulnerabilidades e sistemas posteriores de exploração ou orquestração de ataques. “A JDY mostra como botnets de IoT/SOHO e redes ocultas de dispositivos comprometidos estão sendo usadas para exploração rápida de vulnerabilidades”, afirmou a empresa.
“O crescimento da JDY e sua operação contínua mostram como as redes modernas de reconhecimento persistem apesar de derrubadas e se adaptam como uma capacidade durável dentro de um ecossistema mais amplo de adversários.”
“A evolução da JDY de um componente de apoio da KV-botnet para uma capacidade independente e de alto desempenho em reconhecimento demonstra que a interrupção de nós ou clusters individuais não elimina a capacidade subjacente. Essa capacidade persiste, se adapta e continua fornecendo aos adversários dados de direcionamento em tempo hábil, muitas vezes poucas horas após a divulgação de uma vulnerabilidade.”
À medida que a atividade da botnet JDY cresce, as organizações devem garantir que roteadores, firewalls e dispositivos IoT estejam executando as atualizações de segurança e os patches mais recentes, para evitar que sejam recrutados para redes de reconhecimento. Os defensores também devem reduzir sua superfície de ataque externa, desativando interfaces administrativas desnecessárias expostas à internet, restringindo o acesso ao gerenciamento remoto, substituindo credenciais padrão e monitorando atividades incomuns de varredura de saída originadas em dispositivos de borda.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...