JDY botnet
A Black Lotus Labs szerint a JDY botnet az elmúlt két évben jelentősen fejlődött, és mára több mint 1500 kompromittált SOHO-routerből és IoT-eszközből álló, központilag vezérelt felderítő infrastruktúrává vált. A kutatók hangsúlyozzák, hogy a JDY elsődleges célja nem DDoS-támadások végrehajtása, hanem az interneten elérhető rendszerek folyamatos feltérképezése és az új sérülékenységek gyors kihasználásának előkészítése.
A JDY-t a Lumen már 2023-ban azonosította a KV-botnet egyik komponenseként. Akkor a kutatók azt figyelték meg, hogy a JDY és a fejlettebb KV-infrastruktúra együtt működött: a JDY végezte a tömeges internetes szkennelést és célpontkiválasztást, míg a KV-komponens a magasabb értékű célpontok elleni műveleteket támogatta. A Lumen telemetriája szerint az infrastruktúrát kínai időzónában működő rendszerek adminisztrálták, és több ponton átfedést mutatott a Volt Typhoon által használt hálózatokkal.
A 2026-os elemzés szerint a JDY ma már egyfajta internetes hírszerző platformként működik. A fertőzött routerek és IoT-eszközök folyamatosan keresik az interneten publikált szolgáltatásokat, összegyűjtik a TLS-tanúsítványokat, banner-információkat, nyitott portokat, szoftververziókat és egyéb azonosító adatokat. Ezzel gyakorlatilag valós időben építenek fel egy adatbázist az interneten elérhető potenciális célpontokról.
A JDY rendkívül gyorsan reagál az új sérülékenységek megjelenésére. A botnet képes szinte azonnal megkezdeni az újonnan publikált CVE-khez kapcsolódó célpontok felderítését, jelentősen lerövidítve a sérülékenység nyilvánosságra kerülése és a támadások megindulása közötti időablakot.
A Lumen szerint a JDY különösen az amerikai védelmi, kormányzati, távközlési és kritikus infrastruktúra-szektorhoz kapcsolódó rendszerek felderítésében aktív. A kutatók nem állítják, hogy minden művelet közvetlenül kínai állami szervekhez köthető, ugyanakkor az infrastruktúra jellemzői, a célpontok kiválasztása és a korábbi Volt Typhoon-kapcsolatok alapján a kínai nemzetállami érdekeltség valószínűsíthető.
A JDY azért jelentős, mert jól mutatja a botnetek szerepének átalakulását. A korábbi generációk – például a Mirai – elsősorban DDoS-eszközök voltak. A JDY ezzel szemben felderítő és célpontkiválasztó infrastruktúraként működik, amely a későbbi kiberkémkedési vagy támadó műveletek előkészítését végzi. A hangsúly tehát nem a közvetlen támadáson, hanem a nagyléptékű, automatizált hírszerzési adatgyűjtésen van.
