JDY po likwidacji KV-botnetu: botnet rozpoznawczy nadal rośnie i celuje w sieci wojskowe

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

JDY to botnet wykorzystywany przede wszystkim do działań rozpoznawczych w sieci, a nie do bezpośredniego przejmowania systemów. Jego głównym zadaniem jest szybkie wykrywanie usług wystawionych do internetu, identyfikowanie typów urządzeń oraz mapowanie potencjalnych celów, które mogą zostać zaatakowane na dalszym etapie operacji.

Najnowsze ustalenia wskazują, że po zakłóceniu infrastruktury KV-botnetu komponent JDY nie tylko przetrwał, ale został rozbudowany. Szczególnie istotne jest to, że znacząca część skanowanych adresów IP miała związek z infrastrukturą wojskową i podmiotami powiązanymi z wojskiem USA, co nadaje całej aktywności wymiar strategiczny.

W skrócie

JDY to rozproszony botnet złożony z ponad 1500 przejętych urządzeń SOHO i IoT.
Jego główną funkcją jest szybkie skanowanie internetu i fingerprinting usług.
Botnet rozszerzył listę infekowanych urządzeń poza starsze routery Cisco o sprzęt wielu innych producentów.
Aktywność JDY koncentruje się na wykrywaniu podatnych systemów bezpośrednio po ujawnieniu nowych luk.
Część obserwowanych działań była ukierunkowana na sieci o wysokiej wartości, w tym infrastrukturę wojskową.

Kontekst / historia

JDY był wcześniej łączony z szerszym ekosystemem KV-botnetu, który miał służyć do ukrywania aktywności operacyjnej i wspierania kampanii szpiegowskich. Na początku 2024 roku władze USA przeprowadziły operację wymierzoną w KV-botnet, jednak nie doprowadziło to do trwałej eliminacji wszystkich powiązanych zdolności rozpoznawczych.

Od stycznia 2024 roku, kiedy aktywność JDY spadła do około 650 botów, infrastruktura ponownie się rozrosła i przekroczyła poziom 1500 urządzeń. Zmienił się również profil sprzętowy botnetu. Obok routerów Cisco RV320 i RV325 badacze wskazali obecność urządzeń marek Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision oraz Linksys. Taka dywersyfikacja zwiększa odporność operacyjną i utrudnia skuteczne wyeliminowanie całej sieci.

Analiza techniczna

Architektura JDY została zaprojektowana pod kątem skrytego i ciągłego rozpoznania. Operatorzy wykorzystują ukryte usługi Tor do zarządzania infrastrukturą, co utrudnia identyfikację serwerów dowodzenia oraz źródeł dostarczających złośliwe ładunki. Sam malware działa jako wyspecjalizowany moduł skanujący, który pobiera zadania, realizuje je na przejętym urządzeniu i odsyła wyniki do centralnego systemu agregacji.

Dropper JDY ma postać lekkiego skryptu bash. Najpierw sprawdza, czy implant nie działa już w systemie, następnie identyfikuje architekturę urządzenia, pobiera odpowiedni binarny payload, zapisuje go tymczasowo w lokalizacji systemowej i uruchamia z parametrami C2. Po starcie usuwa plik z dysku, ograniczając liczbę artefaktów pozostawianych na urządzeniu.

Po uruchomieniu malware rejestruje host w infrastrukturze sterującej i przesyła podstawowe informacje o systemie, takie jak architektura, czas pracy, pamięć oraz wersja implantu. Następnie oczekuje na zadania związane ze skanowaniem. Gdy przejęte urządzenie ma odpowiednie uprawnienia, JDY wykonuje szybkie skany SYN z użyciem własnych pakietów TCP. Jeśli takich uprawnień nie ma, przechodzi do zwykłych połączeń TCP i TLS, zbierając bardziej szczegółowe informacje o usługach.

Botnet nie ogranicza się wyłącznie do wykrywania otwartych portów. Operatorzy wykorzystują zestawy reguł opisujących konkretne usługi, ich porty, typowe odpowiedzi i cechy charakterystyczne. Dzięki temu JDY pełni rolę rozproszonej platformy inteligentnego fingerprintingu, zdolnej do potwierdzania obecności określonych technologii oraz wykrywania potencjalnie podatnych systemów.

Szczególnie alarmujący był wzrost skanowania urządzeń Fortinet w ciągu kilku godzin od ujawnienia podatności CVE-2026-35616 5 kwietnia 2026 roku. Taka szybkość reakcji sugeruje, że rozpoznanie jest ściśle powiązane z dalszymi etapami eksploatacji prowadzonymi przez inne narzędzia lub zespoły operacyjne.

Konsekwencje / ryzyko

Największe zagrożenie związane z JDY wynika z jego roli przygotowawczej. Sam botnet nie musi od razu prowadzić do włamania, ale umożliwia przeciwnikowi błyskawiczne zbudowanie listy atrakcyjnych i potencjalnie podatnych celów. To skraca czas między ujawnieniem luki a rozpoczęciem aktywnego poszukiwania ofiar.

Przyspieszenie cyklu od publikacji podatności do identyfikacji możliwych celów.
Utrudniona detekcja dzięki wykorzystaniu przejętych urządzeń SOHO i IoT o pozornie legalnym profilu ruchu.
Większa skuteczność omijania prostych blokad geograficznych i filtrów reputacyjnych.
Podwyższone ryzyko dla organizacji wojskowych, rządowych i operatorów infrastruktury krytycznej.
Możliwość wykorzystania zebranych danych do dalszych kampanii szpiegowskich, sabotażowych lub dostępowych.

Rozproszony charakter ruchu sprawia, że wiele organizacji może błędnie traktować takie skanowanie jako zwykły szum tła internetu. W praktyce może to być pierwszy etap precyzyjnie przygotowanej operacji wymierzonej w zasoby o wysokiej wartości.

Rekomendacje

Organizacje powinny traktować wzmożoną aktywność rozpoznawczą jako wczesny sygnał ostrzegawczy. Skuteczna odpowiedź wymaga zarówno działań technicznych, jak i szybkiej organizacji procesu reagowania na nowe zagrożenia.

Priorytetowo łatać luki w urządzeniach brzegowych, systemach VPN, firewallach i appliance’ach bezpieczeństwa.
Utrzymywać pełny inwentarz usług wystawionych do internetu, w tym paneli administracyjnych i interfejsów TLS.
Monitorować rozproszone, niskonatężeniowe skanowanie pochodzące z wielu adresów IP klasy mieszkaniowej i małych biur.
Ograniczać publiczny dostęp do interfejsów administracyjnych z użyciem MFA, segmentacji i list dozwolonych źródeł.
Zbierać telemetrię TLS i HTTP, aby wykrywać próby fingerprintingu usług.
Weryfikować bezpieczeństwo urządzeń SOHO i IoT wykorzystywanych przez oddziały, partnerów oraz pracowników zdalnych.
Wykorzystywać dynamiczne dane o zagrożeniach i analizę behawioralną zamiast wyłącznie statycznych blacklist.

Podsumowanie

Przypadek JDY pokazuje, że likwidacja jednego klastra botnetu nie musi oznaczać trwałego osłabienia przeciwnika. Po działaniach wymierzonych w KV-botnet komponent rozpoznawczy przetrwał, zwiększył skalę działania i rozszerzył bazę przejętych urządzeń.

Dla zespołów bezpieczeństwa to ważne ostrzeżenie. Rozproszone skanowanie prowadzone z urządzeń SOHO i IoT powinno być analizowane jako potencjalny etap przygotowawczy do bardziej zaawansowanych operacji, zwłaszcza gdy celem mogą być sieci wojskowe, rządowe lub infrastruktura krytyczna.