Forscher: China-nahes JDY-Botnetz wächst auf mehr als 1.500 Geräte an

Zusammenfassung

Sicherheitsforscher von Lumen Black Lotus Labs melden ein Wiederaufleben und eine deutliche Ausweitung des JDY-Botnetzes, das mit staatlich unterstützten, China-nahen Bedrohungsakteuren in Verbindung gebracht wird. Das Netzwerk umfasst laut dem Bericht mehr als 1.500 kompromittierte SOHO- und IoT-Geräte und dient als zentral gesteuerter Hochleistungsscanner, um exponierte Dienste im Internet zu entdecken, zu klassifizieren und fortlaufend zu kartieren. Black Lotus Labs zufolge wird JDY für gezielte Scans und Service-Fingerprinting eingesetzt, um nach öffentlichen Offenlegungen verwundbare Infrastruktur zu markieren. Die Ergebnisse dieser Aufklärung fließen demnach in ein größeres Scan-Ökosystem ein und werden von chinesischen staatlichen Gruppen genutzt. Auffällig ist dabei nicht nur das Wachstum des Botnetzes, sondern auch die größere Vielfalt kompromittierter Geräte: Neben früher dominierenden Cisco-Routern gehören inzwischen unter anderem Systeme von Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision und Linksys dazu.

JDY war laut Black Lotus Labs zunächst Mitte Dezember 2023 als Cluster innerhalb eines anderen Botnetzes mit dem Codenamen KV-botnet aufgefallen. Dieses verdeckt arbeitende Netzwerk aus kompromittierten SOHO-Routern, Firewalls und IoT-Geräten wurde vor allem für breit angelegte Scans gegen Internet-Ziele genutzt und kam nach Angaben der Forscher auch bei chinesischen Hackergruppen wie Volt Typhoon zum Einsatz.

Nach der Zerschlagung des KV-botnet durch die US-Regierung Anfang 2024 änderten die Betreiber laut Bericht ihr Verhalten im Netzwerk, während der zweite KV-Cluster weitgehend offline ging. Black Lotus Labs vermutet, dass die Betreiber das Botnetz verschiedenen Hackergruppierungen zur Verfügung stellen und zugleich eigene Aufklärungs- und Zielauswahl betreiben.

Die aktuelle Analyse beschreibt JDY inzwischen als eigenständige, ausgereifte Infrastruktur für strukturierte Aufklärungsdaten. Die Schadsoftware habe ihren Einsatzbereich erweitert, kompromittiere heute ein breiteres Gerätespektrum und diene als Zuleitung für Daten, die in nachgelagerte Prozesse zur Zielidentifikation und späteren Ausnutzung einfließen. Black Lotus Labs spricht in diesem Zusammenhang von einem industrialisierten Aufklärungsansatz, dessen Ergebnisse von chinesischen Nationalstaat-Gruppen genutzt würden.

Auch die Größe des Netzes hat deutlich zugenommen: Von 650 Bots zu Beginn des Januar 2024 sei JDY auf mehr als 1.500 kompromittierte Geräte angewachsen. Die meisten gekaperten Knoten befinden sich den Forschern zufolge in den USA und in Brasilien, gefolgt von Europa und Asien. Während der Cluster früher vor allem aus Cisco-Routern der Modelle RV320 und RV325 bestand, ist die Zusammensetzung heute deutlich vielfältiger.

Black Lotus Labs hebt hervor, dass die große Zahl US-basierter SOHO- und IoT-Geräte den Betreibern hilft, Schutzmechanismen und klassische IP-basierte Kontrollen zu umgehen. Dazu zählten Geofencing, Erkennung anhand von IP-Reputation und statische Sperrlisten. Durch die Verteilung der Scan- und Aufklärungsaktivitäten auf viele verschiedene IP-Adressen sinke die Wahrscheinlichkeit, dass eine einzelne Adresse als Scanner markiert und blockiert werde. Zudem füge sich der Verkehr kompromittierter SOHO- und IoT-Geräte leichter in legitimen Nutzerdatenverkehr ein.

Die Architektur des Botnetzes ist laut Bericht mehrschichtig aufgebaut. Die Betreiber verwenden Tor-Knoten, um die infizierte Infrastruktur zu verwalten, darunter sowohl Command-and-Control- als auch Payload-Server. Die C2-Server weisen die Bots an, gezielte Aufklärung und Systemprofiling durchzuführen, statt wahllos zu scannen. Die Scan-Ergebnisse werden an zentrale Server zurückgemeldet und dort fortlaufend für die Informationsgewinnung gesammelt.

Für die Infektionskette werden laut Black Lotus Labs neu veröffentlichte Schwachstellen in Edge-Geräten ausgenutzt, etwa CVE-2026-35616. Dabei wird ein Shellskript-Dropper nachgeladen, der zunächst prüft, ob die Malware bereits aktiv ist. Falls nicht, lädt er abhängig von der erkannten Prozessorarchitektur den eigentlichen Schadcode nach, etwa für mips, mips64, mipsel oder mipsel64. Nach dem Start wird die Malware von der Festplatte gelöscht.

Die Malware selbst dient der Scan- und Zielaufklärung. Sie fingerprintet den Host, nimmt Aufträge von einem zentralen C2-Server entgegen, führt umfangreiche Prüfungen über TCP, SSL, UDP und ICMP durch, sammelt Antworten wie TLS-Zertifikate und Metadaten und sendet die Ergebnisse an den Dispatch-Server zurück. Das Ziel sei Aufklärung über Infrastruktur, nicht die unmittelbare Ausnutzung.

Bemerkenswert ist nach Angaben der Forscher, dass die Software ihre Scan-Methode an die vorhandenen Rechte auf dem lokalen System anpasst. Kann sie einen Raw Socket öffnen, was auf Root-Rechte hindeutet, startet sie einen schnellen SYN-Scan mit eigens erzeugten TCP-Paketen. Sind keine Raw Sockets verfügbar oder handelt es sich um einen Web-Scan, greift die Engine auf normale TCP- und TLS-Verbindungen zurück oder nutzt Protokolle wie UDP und ICMP.

Black Lotus Labs sieht darin eine Grundlage für Asset Discovery, auf Schwachstellen ausgerichtete Zielauswahl sowie nachgelagerte Ausnutzungs- oder Angriffsorchestrierungssysteme. Das Unternehmen bewertet JDY als Beispiel dafür, wie IoT- und SOHO-Botnetze sowie verdeckte Netzwerke kompromittierter Geräte für eine schnelle Ausnutzung von Schwachstellen eingesetzt werden und sich trotz Zerschlagungsmaßnahmen als dauerhafte Fähigkeit in einem größeren gegnerischen Ökosystem behaupten.

Forscher: China-nahes JDY-Botnetz wächst auf mehr als 1.500 Geräte an

Ähnliche Artikel

Neueste Artikel