Botnet JDY liên quan đến Trung Quốc mở rộng quy mô, nhắm mục tiêu vào hơn 1.500 thiết bị

Các nhà nghiên cứu an ninh mạng vừa đưa ra cảnh báo về sự trỗi dậy và mở rộng của JDY, một mạng lưới botnet bí mật được cho là có liên quan đến các nhóm tin tặc được nhà nước bảo trợ từ Trung Quốc. Theo báo cáo từ Black Lotus Labs thuộc Lumen, JDY hiện đã kiểm soát hơn 1.500 thiết bị SOHO (văn phòng nhỏ/gia đình) và thiết bị IoT, hoạt động như một hệ thống quét hiệu suất cao để lập bản đồ các dịch vụ bị lộ trên internet.

Sự tiến hóa từ KV-botnet

JDY được phát hiện lần đầu vào cuối năm 2023 như một phần của KV-botnet. Sau khi KV-botnet bị chính phủ Mỹ triệt phá vào đầu năm 2024, các nhà vận hành đã thay đổi chiến thuật, khiến JDY tách ra hoạt động độc lập. Mạng lưới này không chỉ thực hiện các hoạt động trinh sát cho riêng mình mà còn được nghi ngờ là dịch vụ hạ tầng được cung cấp cho nhiều nhóm tin tặc khác, bao gồm cả nhóm khét tiếng Volt Typhoon.

Chiến thuật trinh sát công nghiệp

Thay vì quét ngẫu nhiên, JDY tập trung vào việc thu thập “dữ liệu trinh sát có cấu trúc”. Các thiết bị bị nhiễm sẽ thực hiện quét mục tiêu và nhận diện dịch vụ (fingerprinting) ngay sau khi các lỗ hổng bảo mật mới được công bố. Điều này cho phép những kẻ tấn công xác định nhanh chóng các hạ tầng dễ bị tổn thương để thực hiện các bước khai thác tiếp theo.

Quy mô của botnet này đã tăng vọt từ 650 node vào đầu năm 2024 lên hơn 1.500 thiết bị hiện nay, tập trung chủ yếu tại Mỹ và Brazil. Danh mục thiết bị bị chiếm quyền điều khiển cũng đa dạng hơn, bao gồm các dòng router và thiết bị từ Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision và Linksys.

Khả năng vượt qua các biện pháp phòng thủ

Việc sử dụng lượng lớn thiết bị SOHO/IoT tại Mỹ giúp các nhà vận hành JDY dễ dàng vượt qua các cơ chế kiểm soát dựa trên IP như geofencing hoặc danh sách chặn tĩnh (static blocklists). Hành vi của botnet này được thiết kế để hòa trộn vào lưu lượng truy cập hợp pháp của người dùng, khiến việc phát hiện trở nên khó khăn hơn.

Về mặt kỹ thuật, JDY sử dụng kiến trúc phân tầng với các node Tor để quản lý hạ tầng Command-and-Control (C2). Khi phát hiện lỗ hổng mới (ví dụ: CVE-2026-35616), botnet sẽ triển khai shell script để tải payload phù hợp với kiến trúc vi xử lý của thiết bị mục tiêu. Một điểm đáng chú ý là malware này có khả năng thích nghi phương thức quét dựa trên đặc quyền hệ thống: nếu có quyền root, nó sẽ thực hiện quét SYN tốc độ cao; nếu không, nó sẽ sử dụng các giao thức TCP, TLS, UDP hoặc ICMP tiêu chuẩn.

Các chuyên gia nhấn mạnh rằng việc triệt phá các node đơn lẻ không thể loại bỏ hoàn toàn mối đe dọa này. JDY là minh chứng cho thấy các mạng lưới botnet hiện đại có khả năng phục hồi và thích nghi rất nhanh, cung cấp dữ liệu mục tiêu kịp thời cho các chiến dịch tấn công mạng quy mô lớn.

Nguồn tham khảo: The Hacker News