Iscriviti al webinar gratuito per CISO del 18 Giugno: "Dove si rompono gli LLM: la OWASP Top 10 spiegata per chi deve governare il rischio AI." Scopri di più
JDY Botnet esplode a 1500 nodi: la rete IoT “fantasma” che mappa Internet e sfugge alle blocklist
I ricercatori di sicurezza informatica hanno segnalato la rapida crescita della botnet JDY, una rete nascosta collegata a gruppi di minaccia legati alla Cina e utilizzata come piattaforma di cyber reconnaissance su larga scala. JDY è composta da oltre 1500 dispositivi compromessi tra router SOHO e apparati IoT e funziona come scanner centralizzato ad alte prestazioni per individuare, riconoscere e mappare servizi esposti su Internet.
JDY era stata identificata inizialmente come un cluster interno a un’altra infrastruttura chiamata KV botnet, emersa nel 2023 e associata ad attività di scansione verso obiettivi online. Dopo il takedown della KV botnet da parte delle autorità statunitensi nel 2024, gli operatori hanno modificato il comportamento della rete e alcune porzioni sono andate offline. In questo contesto JDY ha mostrato una resilienza notevole, evolvendo in una capacità autonoma e continuativa di raccolta informazioni.
Le analisi più recenti indicano che JDY non si limita a scansioni generiche, ma esegue scanning mirato e service fingerprinting per identificare infrastrutture vulnerabili subito dopo la divulgazione pubblica di nuove falle. Questo suggerisce un processo industrializzato di ricognizione, dove i risultati vengono trasformati in dati strutturati utili per selezionare bersagli e supportare fasi successive come sfruttamento di vulnerabilità e orchestrazione di attacchi.
La botnet è cresciuta da circa 650 nodi a inizio 2024 a oltre 1500 dispositivi compromessi. Molti nodi risultano negli Stati Uniti e in Brasile, con presenza anche in Europa e Asia. Rispetto al passato, la base di dispositivi è più eterogenea e include apparati di diversi produttori, tra cui Cisco, Ubiquiti, Draytek, Hikvision e Linksys.
Un elemento chiave è la capacità di eludere controlli basati su IP. Distribuendo l’attività su un grande numero di indirizzi e sfruttando dispositivi domestici e piccoli uffici, JDY riduce la probabilità di finire in blocklist statiche o in sistemi di reputazione IP e può confondersi con traffico legittimo.
Dettagli tecnici (infrastruttura e infezione)
- Gestione dell’infrastruttura: avviene tramite nodi Tor e server di comando e controllo che assegnano compiti specifici di profiling e probing su TCP, SSL, UDP e ICMP.
- Catene di infezione: sfruttano vulnerabilità appena divulgate in edge device e scaricano payload in base all’architettura del processore, eliminando poi i file dal disco.
- Tecniche di scansione: il malware adatta la modalità di scanning in base ai privilegi, usando SYN scan ad alta velocità quando dispone di permessi elevati.