Botnet JDY
Investigadores de ciberseguridad han detectado un importante resurgimiento y expansión de JDY, una red clandestina vinculada a actores de amenazas patrocinados por el Estado y alineados con China. Detectada originalmente en diciembre de 2023 como un grupo dentro de la infraestructura más amplia de la botnet KV, JDY ha evolucionado hasta convertirse en una plataforma de reconocimiento independiente y altamente eficaz.
La red consta de más de 1500 dispositivos SOHO (Small Office/Home Office) y de Internet de las Cosas (IoT) comprometidos. En lugar de utilizarse principalmente para ataques directos, JDY funciona como un sistema de escaneo de alto rendimiento gestionado centralmente, capaz de descubrir, identificar y mapear continuamente servicios expuestos a Internet a gran escala.
Grupos terroristas chinos, entre ellos Volt Typhoon, ya han utilizado esta red para apoyar las labores de recopilación de inteligencia e identificación de objetivos.
Tabla de contenido
Adaptación tras el desmantelamiento de la botnet KV
Tras el desmantelamiento de la botnet KV por parte del gobierno estadounidense a principios de 2024, los operadores de JDY modificaron su modus operandi. Si bien un clúster secundario de KV prácticamente desapareció, JDY continuó evolucionando y expandiéndose. Los investigadores creen que la infraestructura podría ser compartida con varios grupos de hackers chinos, además de ser utilizada directamente por sus operadores para actividades de reconocimiento.
Investigaciones recientes revelan que el malware ahora ataca una gama mucho más amplia de dispositivos y funciona como una capa de recopilación de datos dentro de un ecosistema de escaneo más amplio. La información de reconocimiento estructurada recopilada por JDY se introduce en sistemas que facilitan la selección de objetivos y las actividades de explotación posteriores.
Resulta particularmente preocupante el papel de JDY en la rápida identificación de sistemas vulnerables tras la divulgación pública de dichas vulnerabilidades. Este comportamiento sugiere la existencia de una operación de reconocimiento altamente organizada cuyos hallazgos son posteriormente utilizados por actores estatales chinos.
Crecimiento rápido y expansión global
La red de bots ha experimentado un crecimiento sustancial, pasando de aproximadamente 650 dispositivos infectados en enero de 2024 a más de 1500 sistemas comprometidos. La mayoría de los nodos infectados se encuentran en Estados Unidos y Brasil, con concentraciones adicionales en Europa y Asia. El creciente número de dispositivos brasileños refleja una tendencia más amplia en la que las redes de bots dependen cada vez más de sistemas comprometidos en Brasil.
El ecosistema de dispositivos de JDY también se ha vuelto considerablemente más diverso. Si bien las versiones anteriores dependían principalmente de los enrutadores Cisco RV320 y RV325, la red actual incluye hardware de múltiples proveedores:
- Cisco
- Araknis
- Redes Mimosa
- Ubiquiti
- DrayTek
- Hikvision
- Linksys
Esta diversidad fortalece la resiliencia de la red y amplía su alcance operativo.
Integrarse en el tráfico legítimo de Internet
Una parte importante de la infraestructura de JDY se compone de dispositivos SOHO e IoT con sede en EE. UU. Esta distribución permite a los operadores eludir muchos controles de seguridad tradicionales, como las restricciones de geolocalización, el filtrado por reputación de IP y las listas negras estáticas.
Al distribuir la actividad de reconocimiento entre miles de direcciones IP comprometidas, los operadores reducen la probabilidad de que un solo sistema sea identificado y bloqueado como fuente de escaneo. Además, el uso de dispositivos legítimos de consumidores y pequeñas empresas permite que el tráfico malicioso se integre de forma más natural con la actividad habitual de internet, lo que dificulta considerablemente su detección.
Infraestructura por capas diseñada para el sigilo
JDY opera mediante una arquitectura sofisticada y por capas. Los ciberdelincuentes utilizan nodos Tor para gestionar tanto la infraestructura de comando y control (C2) como los servidores de entrega de cargas útiles, lo que ayuda a ocultar la actividad operativa.
En lugar de realizar escaneos indiscriminados en toda la red, los servidores C2 asignan tareas de reconocimiento y elaboración de perfiles específicas a los dispositivos infectados. La información recopilada se transmite a servidores centralizados, donde se agrega y analiza para respaldar las operaciones cibernéticas y los objetivos estratégicos más amplios de China.
Explotación de vulnerabilidades recientemente descubiertas
Las cadenas de ataque asociadas con JDY frecuentemente explotan vulnerabilidades recién publicadas en dispositivos periféricos, incluidas vulnerabilidades como CVE-2026-35616. La explotación exitosa activa la entrega de un script de shell que primero verifica si el malware ya está presente en el sistema objetivo.
Si no se detecta ninguna infección activa, el programa descarga el malware adecuado según la arquitectura del procesador de la víctima, incluyendo variantes para sistemas MIPS, MIPS64, MIPSEL y MIPSEL64. Una vez ejecutado, el malware descargado se elimina del disco para reducir su visibilidad forense.
Capacidades avanzadas de reconocimiento y escaneo adaptativo
El objetivo principal del malware es la recopilación de información, más que la explotación directa. Una vez activo, identifica el host comprometido, recibe órdenes de escaneo de la infraestructura de comando central, realiza sondeos de red a gran escala, recopila datos de respuesta como certificados TLS y metadatos de servicio, e informa de los resultados a los servidores de distribución.
Su motor de escaneo es altamente adaptable y ajusta su comportamiento según los privilegios disponibles en el dispositivo infectado:
Cuando se dispone de acceso de nivel raíz, el malware abre sockets sin procesar y realiza un escaneo SYN de alta velocidad utilizando paquetes TCP diseñados a medida.
Cuando no se dispone de privilegios elevados o cuando se requiere un reconocimiento basado en la web, se basa en conexiones TCP y TLS estándar y también puede emplear técnicas de sondeo basadas en UDP e ICMP.
Esta flexibilidad permite a JDY maximizar la eficacia del reconocimiento en una amplia gama de sistemas comprometidos.
Capacidad de reconocimiento persistente para actores de amenazas chinos
Los investigadores creen que la información recopilada a través de JDY respalda las operaciones de descubrimiento de activos, los flujos de trabajo dirigidos a vulnerabilidades y las plataformas posteriores de explotación u orquestación de ataques.
La botnet ilustra cómo las redes modernas de dispositivos IoT y SOHO se están transformando cada vez más en plataformas de reconocimiento de respuesta rápida, capaces de identificar infraestructuras vulnerables poco después de que se hagan públicas las fallas de seguridad. Su continuo crecimiento demuestra que interrumpir clústeres o nodos individuales no elimina necesariamente la capacidad subyacente.
La transformación de JDY, de un elemento de apoyo de la botnet KV a una plataforma de reconocimiento independiente y de alto rendimiento, pone de manifiesto la persistencia y la adaptabilidad de los ecosistemas de ciberamenazas modernos. Incluso tras los esfuerzos por desmantelarla, la infraestructura sigue evolucionando, proporcionando a los adversarios información útil para la identificación de objetivos, a menudo a las pocas horas de que se revele una nueva vulnerabilidad.
