Los investigadores de ciberseguridad han advertido sobre un «resurgimiento y expansión» de IRuna red encubierta asociada con actores de amenazas patrocinados por el estado del nexo con China.

«La botnet JDY comprende más de 1.500 SOHO (pequeñas oficinas y oficinas domésticas) y dispositivos IoT y opera como un escáner de alto rendimiento controlado centralmente que se utiliza para descubrir, tomar huellas dactilares y mapear continuamente servicios expuestos a escala», dijo Black Lotus Labs de Lumen en un informe compartido con The Hacker News.

JDY se marcó por primera vez como un clúster dentro de otra botnet con nombre en código KV-botnet a mediados de diciembre de 2023. Utilizada principalmente para un escaneo más amplio contra objetivos de Internet, la red sigilosa que comprende enrutadores SOHO, firewalls y dispositivos IoT comprometidos ha sido utilizada por grupos de hackers chinos como Volt Typhoon.

Tras la eliminación de la botnet KV por parte del gobierno de EE. UU. a principios de 2024, los operadores de la botnet comenzaron a realizar cambios de comportamiento en la red, y el segundo clúster de KV se desconectó en gran medida. Se sospecha que los operadores ofrecen la botnet a varios grupos de hackers, mientras ellos mismos realizan el reconocimiento y la localización de objetivos.

Los últimos hallazgos de Black Lotus Labs muestran que el malware ha ampliado su alcance para infectar una gama más amplia de dispositivos y actuar como un conducto para alimentar «datos de reconocimiento estructurados» a un ecosistema de escaneo más grande para la identificación y explotación de objetivos de seguimiento.

Específicamente, el clúster JDY se está utilizando para realizar escaneos específicos y tomas de huellas digitales de servicios con el objetivo de señalar infraestructuras vulnerables luego de revelaciones públicas. Esto apunta a un esfuerzo de reconocimiento industrializado, cuyos resultados son aprovechados por los grupos de Estados-nación chinos.

Esto se ha complementado con un crecimiento en el tamaño de la botnet, que pasó de 650 bots a principios de enero de 2024 a más de 1.500 dispositivos comprometidos. La mayoría de los nodos pirateados se encuentran en Estados Unidos y Brasil, seguidos de Europa y Asia.

Mientras que anteriormente el clúster incluía principalmente enrutadores Cisco RV320 y RV325, la composición actual de la botnet es mucho más diversa e incluye dispositivos de Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision y Linksys.

«La gran cantidad de dispositivos SOHO/IoT de la botnet con sede en EE. UU. permite a los operadores de la botnet evadir las defensas y los controles tradicionales basados ​​en IP, como geofencing, detección basada en la reputación de IP y listas de bloqueo estáticas», dijo Black Lotus Labs.

«Al distribuir su actividad de escaneo y reconocimiento en una amplia gama de direcciones IP, los operadores hacen que sea menos probable que cualquier IP sea etiquetada como escáner y bloqueada. Además, el uso de dispositivos SOHO e IoT comprometidos ayuda a que esta actividad se combine con el tráfico de usuarios legítimo».

La arquitectura que impulsa la botnet se describe mejor como en capas: los operadores usan nodos Tor para administrar la infraestructura infectada, incluidos los servidores de comando y control (C2) y de carga útil. Los servidores C2 dirigen a los robots para que realicen reconocimientos específicos y perfiles del sistema, en lugar de escaneos indiscriminados. Los resultados de los escaneos se envían a servidores centrales para la recopilación continua de inteligencia en un esfuerzo por promover los objetivos de los actores de amenazas chinos.

Las cadenas de ataques utilizan como arma las vulnerabilidades recientemente reveladas en dispositivos perimetrales (por ejemplo, CVE-2026-35616) para entregar un dropper de script de shell que verifica si el malware ya está activo y, en caso contrario, procede a descargar la carga útil principal según la arquitectura del procesador detectada (por ejemplo, mips, mips64, mipsel o mipsel64). Una vez que se inicia el malware, se elimina del disco.

El malware que facilita el escaneo y el reconocimiento de objetivos está diseñado para tomar huellas dactilares del host, recibir tareas de escaneo desde un servidor C2 central, realizar sondeos asistidos por TCP, SSL, UDP e ICMP de gran volumen, capturar respuestas (certificados TLS, metadatos, etc.) e informar los resultados al servidor de envío. El objetivo es realizar un reconocimiento de la infraestructura en lugar de una explotación.

Una funcionalidad notable del malware es su capacidad de adaptar su metodología de escaneo en función de sus privilegios en el sistema local. Si puede abrir un socket sin formato, una indicación de privilegios de root, inicia un escaneo SYN de alta velocidad utilizando paquetes TCP personalizados. Si los sockets sin formato no están disponibles o si la tarea es un escaneo web, el motor de escaneo recurre al uso de conexiones TCP y TLS estándar o emplea protocolos como UDP e ICMP.

Lo más probable es que esta actividad informe el descubrimiento de activos, los canales de detección de vulnerabilidades y los sistemas de explotación o orquestación de ataques posteriores, dijo la compañía de ciberseguridad.

«JDY demuestra cómo las botnets IoT/SOHO y las redes encubiertas de dispositivos comprometidos se están utilizando para una rápida explotación de vulnerabilidades», dijo la compañía. «El crecimiento y la operación continua de JDY ilustran cómo las redes de reconocimiento modernas persisten a pesar de los derribos y se adaptan como una capacidad duradera dentro de un ecosistema adversario más amplio».

«La evolución de JDY de un componente de apoyo de la botnet KV a una capacidad de reconocimiento independiente y de alto rendimiento demuestra que la interrupción de nodos o grupos individuales no elimina la capacidad subyacente. La capacidad persiste, se adapta y continúa proporcionando a los adversarios datos de objetivos oportunos, a menudo a las pocas horas de la divulgación de la vulnerabilidad».