JDY-Botnetz weitet Aufklärung gegen US-Militärnetzwerke aus

Zusammenfassung

Das mit chinesischen Bedrohungsakteuren wie Volt Typhoon in Verbindung gebrachte JDY-Botnetz hat seinen Zielkorridor deutlich ausgeweitet. Wie Black Lotus Labs von Lumen berichtet, liegt der Schwerpunkt weiterhin klar auf den USA: Dort befinden sich viele der kompromittierten Geräte, und dort nimmt das Botnetz vor allem militärische und damit verbundene Netzwerke ins Visier. Nach Angaben der Forscher wuchs JDY von rund 650 aktiven Bots im Januar 2024 auf inzwischen mehr als 1.500 kompromittierte SOHO- und IoT-Geräte. Anders als klassische DDoS-Botnetze dient JDY jedoch nicht primär der Bündelung von Rechen- oder Angriffskapazität. Black Lotus Labs beschreibt das Netzwerk vielmehr als verteilte Infrastruktur für Scans und Fingerprinting, mit der die Betreiber nach Systemen suchen, die kurz nach der Veröffentlichung neuer Schwachstellen anfällig sind. Die Auswertung deute auf einen klaren Fokus hin, verwundbare Infrastruktur unmittelbar nach öffentlichen Offenlegungen zu identifizieren; die Ergebnisse dieser Aufklärung würden offenbar rasch von APT-Akteuren mit China-Bezug operationalisiert.

Nach Einschätzung von Black Lotus Labs ist JDY vor allem ein Werkzeug für technische Aufklärung. Das Botnetz übernimmt Diensterkennung, das Auslesen von Service-Bannern, das Sammeln von TLS-Zertifikaten, Protokoll-Fingerprinting und eine auf konkrete Schwachstellen ausgerichtete Erkundung. Besonders auffällig sei dabei die gezielte Ausrichtung auf das US-Militär und verbundene Organisationen; diese seien unter den beobachteten Sektoren am prominentesten.

Für die Infrastruktur des Botnetzes greifen die Betreiber laut Lumen auf versteckte Tor-Dienste zurück, die zugleich als Command-and-Control-Server dienen. In einzelnen Fällen kommt zudem das quelloffene Reverse-Shell- und Host-Management-Framework Platypus zum Einsatz. Die Schadsoftware meldet sich bei einem zentralen „Dispatch Service“ an, erhält dort Scan-Aufträge, führt diese aus, komprimiert die Ergebnisse und übermittelt sie an die C2-Infrastruktur zurück. Dieser Ablauf wiederholt sich fortlaufend, bis die Operatoren ihn ausdrücklich stoppen.

Zu den kompromittierten Geräten zählen laut Bericht Systeme von Cisco, Araknis, Mimosa Networks, Ubiquiti, DrayTek, Hikvision und Linksys. Unterstützt werden dabei die Architekturen MIPS, MIPS64, MIPSEL und MIPSEL64. Dass die absolute Zahl der Bots vergleichsweise klein wirkt, bewertet Black Lotus Labs nicht als Widerspruch zur Gefährlichkeit des Netzes: JDY sei weder ein Exploit-Framework noch ein DDoS-Botnetz, das große Schwärme brauche, sondern eine verteilte Scan- und Fingerprinting-Plattform.

Wie schnell die Betreiber auf neue Schwachstellen reagieren, illustriert laut Lumen ein aktuelles Beispiel: Die Forscher beobachteten JDY-Scans auf CVE-2026-35616 kurz nachdem Fortinet die Schwachstelle in FortiClient EMS öffentlich gemacht hatte. Black Lotus Labs wertet das als Hinweis darauf, dass die Botnetz-Betreiber neue Offenlegungen sehr schnell in Aufklärungsaktivitäten übersetzen.

Technisch heben die Forscher besonders die TCP-Scan-Funktion hervor. Verfügt JDY über ausreichende Rechte, nutzt die Malware ein deutlich schnelleres und unauffälligeres Raw-SYN-Scanning. Wenn sie einen Raw Socket öffnen kann, was in der Regel Root- oder Administratorrechte erfordert, startet sie laut Bericht Hochgeschwindigkeits-SYN-Scans mit eigens erzeugten TCP-Paketen. Diese Pakete verwenden einen festen Quellport 19000, erhöhen die Zielports schrittweise und bearbeiten tausende Scan-Ziele stapelweise.

Bereits zuvor hatte CISA vor den Risiken gewarnt, die von Volt-Typhoon-Akteuren für ungeschützte SOHO-Router ausgehen. Die Behörde forderte Hersteller von Netzwerkgeräten auf, Schwachstellen in Web-Management-Schnittstellen von SOHO-Routern schon in Design- und Entwicklungsphasen zu beseitigen.

JDY-Botnetz weitet Aufklärung gegen US-Militärnetzwerke aus

Ähnliche Artikel

Neueste Artikel