Una botnet vinculada al estado chino crece a 1.500 enrutadores pirateados y mapea objetivos vulnerables a las pocas horas de su publicación.

Una botnet secreta vinculada a piratas informáticos patrocinados por el estado chino ha más que duplicado su tamaño y ahora está siendo escaneada en busca de vulnerabilidades recientemente reveladas a las pocas horas de su publicación. La botnet JDY tiene más de 1.500 enrutadores, firewalls y dispositivos IoT de oficinas pequeñas y domésticas comprometidos, según una nueva investigación de Black Lotus Labs de Lumen. La mayoría de los ganglios infectados se encuentran en Estados Unidos y Brasil.

JDY se identificó por primera vez en diciembre de 2023 como un clúster dentro de la botnet KV, una red utilizada por el grupo de piratería chino Volt Typhoon. El FBI eliminó la botnet KV a principios de 2024. Pero JDY sobrevivió, se adaptó y desde entonces Black Lotus Labs lo describe como una capacidad de reconocimiento independiente y de alto rendimiento.

Las botnets no atacan a sus objetivos directamente. Escala servicios que publican escaneos, huellas dactilares y mapas, y luego envía los resultados a grupos de estados-nación chinos para su posterior explotación. Black Lotus Labs lo llama "Esfuerzos de industrialización.Los datos fluyen a un servidor central para la recopilación continua de inteligencia.

💜 de tecnología de la UE

Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. ¡Regístrate ahora!

La velocidad es notable. Las cadenas de ataques explotan vulnerabilidades recientemente reveladas en dispositivos perimetrales para comprometer los enrutadores y agregarlos a la red. Una vez infectados, los bots ejecutan consultas TCP, SSL, UDP e ICMP de gran volumen. Capturan el certificado TLS y los metadatos del servicio y luego envían el informe al servidor. El objetivo es mapear la infraestructura, no explotarla.

Las botnets han pasado de 650 dispositivos en enero de 2024 a más de 1.500 en la actualidad. Su variedad de dispositivos también se ha ampliado. Mientras que anteriormente apuntaba a los enrutadores Cisco RV320 y RV325, ahora compromete dispositivos de Arachnis, Mimosa Networks, Ubiquity, DryTech, Hikvision y Linksys.

Esa diversidad es intencional. Al distribuir el escaneo en una amplia gama de direcciones IP, los operadores evitan marcar y bloquear una sola IP. El uso de dispositivos SOHO e IoT no comprometidos ayuda a mezclar el tráfico con la actividad legítima de los usuarios. Los dispositivos con sede en EE. UU. permiten a los operadores eludir las barreras geográficas y los controles de reputación de IP.

La arquitectura está en capas. Los operadores administran la infraestructura infectada a través de nodos Tor, incluidos servidores de comando y control y de carga útil. El malware adapta su método de escaneo según sus privilegios en el dispositivo comprometido. El acceso raíz activa el escaneo SYN de alta velocidad con paquetes personalizados. Sin root, recurre a conexiones TCP y TLS estándar.

"La interrupción de nodos o grupos individuales no elimina la capacidad subyacente,"Dijo Black Lotus Labs".Las capacidades persisten, se adaptan y brindan a los adversarios datos de orientación oportunos, a menudo pocas horas después de la divulgación de la vulnerabilidad.“Las campañas de piratería estatal china tienen un largo historial de ataques a la infraestructura estadounidense, y la botnet JDY muestra que el aparato de reconocimiento detrás de ellas se está volviendo más duradero, no menos.

Para los defensores, el mensaje es claro. La aplicación rápida de parches a dispositivos periféricos ya no es opcional. Los enrutadores y el hardware de IoT que están llegando al final de su vida útil son los objetivos principales. Y las defensas tradicionales basadas en IP son ineficaces cuando el tráfico de escaneo proviene de miles de IP residenciales que parecen legítimas.