JDY Botnet
Cybersicherheitsforscher haben ein signifikantes Wiederaufleben und eine Ausweitung von JDY festgestellt, einem verdeckten Netzwerk mit Verbindungen zu staatlich geförderten, China nahestehenden Bedrohungsakteuren. JDY wurde ursprünglich im Dezember 2023 als Cluster innerhalb der größeren KV-Botnetz-Infrastruktur entdeckt und hat sich zu einer unabhängigen, hocheffektiven Aufklärungsplattform entwickelt.
Das Netzwerk besteht aus über 1.500 kompromittierten Geräten aus kleinen Büros/Heimbüros (SOHO) und dem Internet der Dinge (IoT). JDY wird nicht primär für direkte Angriffe eingesetzt, sondern fungiert als zentral verwaltetes, leistungsstarkes Scansystem, das in der Lage ist, internetfähige Dienste in großem Umfang zu erkennen, zu identifizieren und kontinuierlich zu kartieren.
Chinesische Bedrohungsgruppen, darunter Volt Typhoon, haben das Netzwerk bereits zuvor zur Unterstützung von Aufklärungs- und Zielidentifizierungsbemühungen genutzt.
Inhaltsverzeichnis
Anpassung nach der Zerschlagung des KV-Botnetzes
Nachdem die US-Regierung das KV-Botnetz Anfang 2024 zerschlagen hatte, passten die Betreiber von JDY ihre Vorgehensweise an. Während ein sekundärer KV-Cluster weitgehend verschwand, entwickelte und expandierte JDY weiter. Forscher vermuten, dass die Infrastruktur von mehreren chinesischen Hackergruppen genutzt und gleichzeitig von den Betreibern direkt für Aufklärungsaktivitäten eingesetzt wird.
Jüngste Untersuchungen zeigen, dass die Malware mittlerweile ein deutlich breiteres Spektrum an Geräten ins Visier nimmt und als Datenerfassungsschicht innerhalb eines größeren Scanning-Ökosystems dient. Die von JDY gesammelten strukturierten Aufklärungsinformationen werden in Systeme eingespeist, die die Zielauswahl und die anschließenden Ausnutzungsaktivitäten ermöglichen.
Besonders besorgniserregend ist die Rolle von JDY bei der schnellen Identifizierung anfälliger Systeme nach öffentlichen Bekanntmachungen von Sicherheitslücken. Dieses Vorgehen deutet auf eine hochorganisierte Aufklärungsoperation hin, deren Ergebnisse später von chinesischen Staatsakteuren genutzt werden.
Schnelles Wachstum und globale Expansion
Das Botnetz ist erheblich gewachsen und hat sich von etwa 650 infizierten Geräten im Januar 2024 auf über 1.500 kompromittierte Systeme vergrößert. Die meisten infizierten Knotenpunkte befinden sich in den USA und Brasilien, weitere Konzentrationen gibt es in Europa und Asien. Die steigende Anzahl brasilianischer Geräte spiegelt einen breiteren Trend wider, wonach Botnetze zunehmend auf kompromittierte Systeme in Brasilien angewiesen sind.
Das Geräte-Ökosystem von JDY ist ebenfalls deutlich vielfältiger geworden. Während frühere Versionen hauptsächlich auf Cisco RV320- und RV325-Routern basierten, umfasst das aktuelle Netzwerk Hardware von verschiedenen Herstellern:
- Cisco
- Araknis
- Mimosa Networks
- Ubiquiti
Diese Vielfalt stärkt die Widerstandsfähigkeit des Netzwerks und erweitert seine operative Reichweite.
Einbetten in legitimen Internetverkehr
Ein wesentlicher Teil der JDY-Infrastruktur besteht aus US-amerikanischen SOHO- und IoT-Geräten. Diese Verteilung ermöglicht es den Betreibern, viele herkömmliche Sicherheitskontrollen zu umgehen, darunter Geofencing-Beschränkungen, IP-Reputationsfilterung und statische Sperrlisten.
Durch die Verteilung der Aufklärungsaktivitäten auf Tausende kompromittierter IP-Adressen verringern die Betreiber die Wahrscheinlichkeit, dass ein einzelnes System als Scanquelle identifiziert und blockiert wird. Darüber hinaus ermöglicht die Verwendung legitimer Geräte von Privatnutzern und kleinen Unternehmen, dass sich schädlicher Datenverkehr natürlicher in die normale Internetaktivität einfügt, was die Erkennung erheblich erschwert.
Mehrschichtige Infrastruktur, die für Tarnung konzipiert wurde
JDY operiert über eine ausgeklügelte, mehrschichtige Architektur. Bedrohungsakteure nutzen Tor-Knoten, um sowohl die Command-and-Control-Infrastruktur (C2) als auch die Server zur Auslieferung von Nutzdaten zu verwalten und so ihre operativen Aktivitäten zu verschleiern.
Anstatt wahllos das gesamte Internet zu scannen, weisen die C2-Server infizierten Geräten gezielte Aufklärungs- und Profilierungsaufgaben zu. Die gesammelten Informationen werden an zentrale Server übermittelt, wo sie zusammengeführt und analysiert werden, um umfassendere chinesische Cyberoperationen und strategische Ziele zu unterstützen.
Ausnutzung neu aufgedeckter Sicherheitslücken
Angriffsketten im Zusammenhang mit JDY nutzen häufig neu entdeckte Schwachstellen in Edge-Geräten aus, darunter Schwachstellen wie CVE-2026-35616. Bei erfolgreicher Ausnutzung wird ein Shell-Skript-Dropper ausgeliefert, der zunächst prüft, ob die Schadsoftware bereits auf dem Zielsystem vorhanden ist.
Wird keine aktive Infektion festgestellt, lädt der Dropper die passende Malware-Payload basierend auf der Prozessorarchitektur des Opfers herunter, einschließlich Varianten für MIPS-, MIPS64-, MIPSEL- und MIPSEL64-Systeme. Nach der Ausführung entfernt sich die heruntergeladene Malware selbst von der Festplatte, um die forensische Spurensuche zu erschweren.
Erweiterte Aufklärungs- und adaptive Scanfunktionen
Die Malware dient primär der Informationsbeschaffung und nicht der direkten Ausnutzung von Schwachstellen. Nach der Aktivierung erstellt sie einen Fingerabdruck des kompromittierten Hosts, erhält Scanaufträge von der zentralen Kommandozentrale, führt umfangreiche Netzwerk-Scans durch, sammelt Antwortdaten wie TLS-Zertifikate und Dienstmetadaten und meldet die Ergebnisse an die Dispatch-Server zurück.
Die Scan-Engine ist hochgradig anpassungsfähig und passt ihr Verhalten den auf dem infizierten Gerät verfügbaren Berechtigungen an:
Wenn Root-Zugriff verfügbar ist, öffnet die Malware Raw Sockets und führt einen Hochgeschwindigkeits-SYN-Scan mit speziell präparierten TCP-Paketen durch.
Wenn erhöhte Berechtigungen nicht verfügbar sind oder webbasierte Aufklärung erforderlich ist, greift es auf Standard-TCP- und TLS-Verbindungen zurück und kann auch UDP- und ICMP-basierte Sondierungstechniken einsetzen.
Diese Flexibilität ermöglicht es JDY, die Effektivität der Aufklärung über ein breites Spektrum kompromittierter Systeme hinweg zu maximieren.
Eine dauerhafte Aufklärungsfähigkeit für chinesische Bedrohungsakteure
Forscher glauben, dass die durch JDY gesammelten Informationen die Ermittlung von Vermögenswerten, Arbeitsabläufe zur gezielten Identifizierung von Schwachstellen sowie nachgelagerte Plattformen zur Ausnutzung oder Orchestrierung von Angriffen unterstützen.
Das Botnetz veranschaulicht, wie moderne IoT- und SOHO-Gerätenetzwerke zunehmend in schnell reagierende Aufklärungsplattformen umgewandelt werden, die in der Lage sind, anfällige Infrastrukturen kurz nach Bekanntwerden von Sicherheitslücken zu identifizieren. Sein anhaltendes Wachstum zeigt, dass die Störung einzelner Cluster oder Knoten die zugrunde liegende Fähigkeit nicht zwangsläufig beseitigt.
JDYs Transformation von einem unterstützenden Element des KV-Botnetzes zu einer unabhängigen, leistungsstarken Aufklärungsplattform verdeutlicht die Beharrlichkeit und Anpassungsfähigkeit moderner Cyberbedrohungsökosysteme. Selbst nach Abwehrmaßnahmen entwickelt sich die Infrastruktur weiter und liefert Angreifern verwertbare Zielinformationen, oft innerhalb weniger Stunden nach Bekanntwerden einer neuen Sicherheitslücke.
