Botnet JDY
Des chercheurs en cybersécurité ont constaté une résurgence et une expansion significatives de JDY, un réseau clandestin lié à des acteurs malveillants étatiques proches de la Chine. Initialement détecté en décembre 2023 comme un cluster au sein de l'infrastructure plus vaste du botnet KV, JDY est devenu une plateforme de reconnaissance indépendante et extrêmement efficace.
Le réseau comprend plus de 1 500 appareils compromis appartenant à des petites entreprises, des bureaux à domicile (SOHO) et des objets connectés (IoT). Plutôt que d'être principalement utilisé pour des attaques directes, JDY fonctionne comme un système d'analyse centralisé et performant, capable de découvrir, d'identifier et de cartographier en continu les services exposés sur Internet à grande échelle.
Des groupes armés chinois, dont Volt Typhoon, ont déjà utilisé ce réseau pour appuyer leurs efforts de collecte de renseignements et d'identification des cibles.
Table des matières
Adaptation suite au démantèlement du réseau KV-Botnet
Après le démantèlement du botnet KV par le gouvernement américain début 2024, les opérateurs de JDY ont modifié leur mode opératoire. Si un second cluster KV a largement disparu, JDY a continué d'évoluer et de s'étendre. Les chercheurs pensent que son infrastructure pourrait être partagée avec plusieurs groupes de pirates informatiques chinois, tout en étant également utilisée directement par ses opérateurs pour des activités de reconnaissance.
Des investigations récentes révèlent que le logiciel malveillant cible désormais un éventail beaucoup plus large d'appareils et sert de couche de collecte de données au sein d'un écosystème d'analyse plus vaste. Les informations de reconnaissance structurées recueillies par JDY sont intégrées à des systèmes qui facilitent la sélection des cibles et les activités d'exploitation ultérieures.
Le rôle de JDY dans l'identification rapide des systèmes vulnérables suite à la divulgation publique de ces vulnérabilités est particulièrement préoccupant. Ce comportement laisse supposer l'existence d'une opération de reconnaissance très organisée dont les résultats sont ensuite exploités par des acteurs étatiques chinois.
Croissance rapide et expansion mondiale
Le réseau de zombies a connu une croissance considérable, passant d'environ 650 appareils infectés en janvier 2024 à plus de 1 500 systèmes compromis. La plupart des nœuds infectés se situent aux États-Unis et au Brésil, avec des concentrations supplémentaires en Europe et en Asie. L'augmentation du nombre d'appareils brésiliens reflète une tendance plus générale : les réseaux de zombies s'appuient de plus en plus sur des systèmes compromis au Brésil.
L'écosystème de périphériques de JDY s'est considérablement diversifié. Alors que les versions précédentes reposaient principalement sur les routeurs Cisco RV320 et RV325, le réseau actuel comprend du matériel provenant de plusieurs fournisseurs :
- Cisco
- Araknis
- Réseaux Mimosa
- Ubiquiti
- DrayTek
- Hikvision
- Linksys
Cette diversité renforce la résilience du réseau et élargit sa portée opérationnelle.
Se fondre dans le trafic Internet légitime
Une part importante de l'infrastructure de JDY est composée d'appareils SOHO et IoT basés aux États-Unis. Cette distribution permet aux opérateurs de contourner de nombreux contrôles de sécurité traditionnels, tels que les restrictions de géorepérage, le filtrage de la réputation IP et les listes de blocage statiques.
En répartissant leurs activités de reconnaissance sur des milliers d'adresses IP compromises, les opérateurs réduisent la probabilité qu'un système en particulier soit identifié et bloqué comme source d'analyse. De plus, l'utilisation d'appareils légitimes de particuliers et de petites entreprises permet au trafic malveillant de se fondre plus naturellement dans l'activité internet habituelle, rendant ainsi sa détection beaucoup plus difficile.
Infrastructure multicouche conçue pour la furtivité
JDY fonctionne grâce à une architecture sophistiquée et multicouche. Les acteurs malveillants utilisent des nœuds Tor pour gérer à la fois l'infrastructure de commande et de contrôle (C2) et les serveurs de distribution de charges utiles, ce qui contribue à dissimuler leur activité opérationnelle.
Au lieu de procéder à des analyses indiscriminées de l'ensemble d'Internet, les serveurs de commande et de contrôle (C2) assignent des tâches ciblées de reconnaissance et de profilage aux appareils infectés. Les renseignements recueillis sont transmis à des serveurs centralisés, où ils sont agrégés et analysés afin de soutenir des cyberopérations et des objectifs stratégiques chinois de plus grande envergure.
Exploitation des vulnérabilités récemment divulguées
Les chaînes d'attaques associées à JDY exploitent fréquemment des vulnérabilités récemment publiées dans les périphériques de périphérie, notamment des vulnérabilités telles que CVE-2026-35616. Une exploitation réussie déclenche la distribution d'un script shell qui vérifie d'abord si le logiciel malveillant est déjà présent sur le système cible.
Si aucune infection active n'est détectée, le programme d'installation télécharge le logiciel malveillant adapté à l'architecture du processeur de la victime, notamment les variantes pour les systèmes MIPS, MIPS64, MIPSEL et MIPSEL64. Une fois exécuté, le logiciel malveillant téléchargé s'efface du disque afin d'en limiter la détection par les services d'analyse forensique.
Capacités avancées de reconnaissance et de balayage adaptatif
Ce logiciel malveillant a pour principal objectif la collecte de renseignements plutôt que l'exploitation directe. Une fois activé, il identifie l'hôte compromis, reçoit des missions d'analyse de l'infrastructure de commande centrale, effectue des sondages réseau à grande échelle, collecte des données de réponse telles que les certificats TLS et les métadonnées de service, et transmet ses résultats aux serveurs de répartition.
Son moteur d'analyse est hautement adaptatif et ajuste son comportement en fonction des privilèges disponibles sur le dispositif infecté :
Lorsque l'accès au niveau racine est disponible, le logiciel malveillant ouvre des sockets brutes et effectue une analyse SYN à haute vitesse à l'aide de paquets TCP personnalisés.
Lorsque les privilèges élevés ne sont pas disponibles, ou lorsqu'une reconnaissance via le Web est nécessaire, il s'appuie sur des connexions TCP et TLS standard et peut également employer des techniques de sondage basées sur UDP et ICMP.
Cette flexibilité permet à JDY d'optimiser l'efficacité de la reconnaissance sur un large éventail de systèmes compromis.
Une capacité de reconnaissance permanente pour les acteurs de menace chinois
Les chercheurs estiment que les renseignements recueillis par le biais de JDY facilitent les opérations de découverte d'actifs, les flux de travail de ciblage des vulnérabilités et les plateformes d'exploitation ou d'orchestration d'attaques en aval.
Ce botnet illustre comment les réseaux d'objets connectés et de petites entreprises (SOHO) modernes se transforment de plus en plus en plateformes de reconnaissance à réponse rapide, capables d'identifier les infrastructures vulnérables peu après la divulgation de failles de sécurité. Sa croissance continue démontre que la perturbation de clusters ou de nœuds individuels n'élimine pas nécessairement la capacité sous-jacente.
La transformation de JDY, d'un élément de soutien du botnet KV en une plateforme de reconnaissance indépendante et performante, illustre la persistance et l'adaptabilité des écosystèmes de cybermenaces modernes. Même après les tentatives de démantèlement, l'infrastructure continue d'évoluer, fournissant aux adversaires des renseignements exploitables pour le ciblage, souvent quelques heures seulement après la divulgation d'une nouvelle vulnérabilité.
