Pesquisadores da Black Lotus Labs documentam crescimento, diversificação de hardware e varredura direcionada pós-divulgação de falhas em roteadores e equipamentos de borda comprometidos
| Componente | Rede JDY: mais de 1.500 dispositivos SOHO e IoT comprometidos (roteadores, firewalls e câmeras), incluindo marcas Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision, Linksys e, anteriormente, Cisco RV320/RV325 |
| Vetor | Comprometimento de equipamentos de borda via exploração de vulnerabilidades recém-divulgadas (ex.: CVE-2026-35616), entrega por script shell que baixa payload conforme arquitetura (mips, mips64, mipsel, mipsel64) e remove o binário do disco após execução; gestão por C2 e servidores de payload via nós Tor |
| Impacto | Varredura centralizada de alta performance para descoberta, fingerprinting e mapeamento contínuo de serviços expostos na internet; alimentação de dados estruturados de reconhecimento para identificação de alvos e possível exploração posterior por grupos patrocinados pelo Estado chinês, como Volt Typhoon |
| Prioridade | Inventariar e endurecer roteadores SOHO, firewalls e IoT expostos; monitorar varreduras anômalas originadas de IPs residenciais; aplicar correções de borda imediatamente após advisories; bloquear tráfego Tor não autorizado e revisar telemetria de conexões TCP/TLS/UDP/ICMP incomuns |
| Artefatos | Script shell dropper, payload adaptado por arquitetura de processador, infraestrutura C2 e de payload operada via Tor, resultados de varredura enviados a servidores centrais de despacho |
| IoCs | Atividade de varredura distribuída em massa a partir de IPs residenciais nos EUA e Brasil; tráfego de gestão associado a nós Tor; sondagens TCP SYN customizadas quando há privilégio root (raw socket); coleta de certificados TLS e metadados de resposta |
A rede JDY, associada a atores de ameaça patrocinados pelo Estado com nexo na China, passou por ressurgência e expansão significativa, segundo achados publicados pela Black Lotus Labs. O conjunto compromete mais de 1.500 dispositivos de escritório doméstico e pequeno escritório (SOHO) e de internet das coisas (IoT), operando como scanner centralizado de alto desempenho voltado a descobrir, identificar e mapear serviços expostos em escala global.
JDY surgiu inicialmente como um cluster dentro do botnet KV-botnet em meados de dezembro de 2023, empregado principalmente em varreduras amplas contra alvos na internet. Após a desativação do KV-botnet pelo governo dos Estados Unidos no início de 2024, os operadores alteraram o comportamento da rede: o segundo cluster KV ficou em grande parte offline, enquanto JDY evoluiu para capacidade independente de reconhecimento. Há indícios de que a infraestrutura seja oferecida a diferentes grupos ofensivos, mantendo ao mesmo tempo atividades próprias de reconhecimento e seleção de alvos.
O crescimento quantitativo foi expressivo: de cerca de 650 bots no início de janeiro de 2024 para mais de 1.500 dispositivos comprometidos na medição mais recente. A distribuição geográfica concentra nós nos Estados Unidos e no Brasil, seguidos por Europa e Ásia. A diversidade de hardware também aumentou: onde antes predominavam roteadores Cisco RV320 e RV325, o parque atual inclui equipamentos de fabricantes como Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision e Linksys.
A arquitetura do JDY é descrita como em camadas. Operadores utilizam nós da rede Tor para administrar a infraestrutura infectada, abrangendo servidores de comando e controle (C2) e servidores de entrega de payload. Diferentemente de varredura indiscriminada, o C2 direciona os bots a reconhecimento direcionado e perfilamento de sistemas; os resultados são encaminhados a servidores centrais para consolidação de inteligência e suporte a objetivos de grupos de ameaça chineses.
A cadeia de infecção observada explora vulnerabilidades recém-divulgadas em dispositivos de borda. Um exemplo citado no relatório é CVE-2026-35616. O vetor inicial emprega um script shell que verifica se o malware já está ativo no host; caso contrário, baixa o payload principal conforme a arquitetura detectada do processador — variantes para mips, mips64, mipsel e mipsel64 — e, após a execução, remove o artefato do disco, dificultando análise forense local imediata.
O componente malicioso responsável pela varredura realiza fingerprinting do host, recebe tarefas do C2 central e executa sondagens de alto volume via TCP, SSL, UDP e ICMP assistido. Respostas são capturadas, incluindo certificados TLS e metadados associados, e reportadas ao servidor de despacho. O objetivo declarado é reconhecimento de infraestrutura, não exploração direta no momento da varredura.
Um detalhe operacional relevante é a adaptação do método de varredura conforme privilégios locais. Quando o processo consegue abrir raw socket — indicativo de privilégios equivalentes a root — inicia varredura SYN de alta velocidade com pacotes TCP customizados. Sem raw socket, ou em tarefas de varredura web, recorre a conexões TCP e TLS padrão ou a protocolos UDP e ICMP. Esse comportamento permite maximizar cobertura e velocidade em dispositivos mais expostos, mantendo funcionalidade reduzida em contextos mais restritos.
A atividade alinha-se a um esforço industrializado de reconhecimento: varreduras e fingerprinting de serviços são acionados de forma direcionada após divulgações públicas de vulnerabilidades, sugerindo pipeline de descoberta de ativos, priorização de falhas e orquestração de ataques subsequentes. Pesquisadores avaliam que os dados alimentam sistemas downstream de exploração ou coordenação ofensiva, frequentemente dentro de horas após a publicação de um advisory.
A superfície primária são dispositivos SOHO e IoT expostos à internet, especialmente roteadores, firewalls e equipamentos de videovigilância em ambientes residenciais e de pequenas empresas. Organizações que dependem de hardware de borda sem ciclo de patch rigoroso, gestão centralizada ou segmentação adequada ficam mais expostas a comprometimento e reutilização como nó de varredura.
A concentração de bots nos Estados Unidos e no Brasil implica que tráfego malicioso pode emergir de endereços residenciais legítimos na região, reduzindo eficácia de controles baseados exclusivamente em reputação de IP, geofencing ou listas estáticas de bloqueio. Equipes de segurança devem considerar que origem aparentemente doméstica não garante legitimidade da atividade.
- Roteadores e firewalls SOHO de múltiplos fabricantes, incluindo Cisco RV320/RV325 (histórico), Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision e Linksys
- Dispositivos IoT com arquiteturas MIPS e variantes (mips, mips64, mipsel, mipsel64)
- Infraestrutura de borda vulnerável a falhas recém-publicadas, como CVE-2026-35616
- Alvos finais indiretos: serviços expostos na internet mapeados pelo botnet para grupos como Volt Typhoon e outros atores com nexo chinês
A detecção exige correlação entre telemetria de rede perimetral, logs de dispositivos SOHO gerenciados e sinais de comportamento anômalo em equipamentos de borda. Varreduras originadas de IPs residenciais distribuídos, padrões de sondagem TCP SYN em alta velocidade e sequências de conexão TLS/UDP/ICMP incomuns devem ser avaliadas no contexto de campanhas de reconhecimento pós-divulgação de CVE.
Em hosts comprometidos, investigadores devem procurar evidências de execução transitória de payload — binário baixado e removido do disco —, comunicação com infraestrutura Tor e tráfego de retorno contendo metadados estruturados de varredura. A presença de raw sockets abertos por processos não autorizados em roteadores embarcados é indicador de capacidade de varredura acelerada.
- Picos de sondagem TCP SYN ou conexões TLS repetitivas saindo de roteadores SOHO/IoT para múltiplos destinos externos
- Comunicação periódica com endpoints associados a nós Tor, seguida de transferência de dados agregados de reconhecimento
- Execução de script shell de entrega após exploração de vulnerabilidade de borda conhecida publicamente
- Coleta e exfiltração de certificados TLS e metadados de serviços alcançáveis, compatível com fingerprinting em larga escala
- Atividade de varredura distribuída entre milhares de IPs residenciais nos EUA e Brasil, dificultando bloqueio por reputação unitária
A resposta deve combinar remediação imediata em dispositivos de borda, endurecimento de exposição à internet e monitoramento proativo alinhado ao ciclo de divulgação de vulnerabilidades. A experiência com KV-botnet demonstra que desmantelamentos pontuais não eliminam a capacidade subjacente: clusters adaptam-se, persistem e continuam fornecendo dados de targeting oportuno.
Organizações devem tratar roteadores SOHO e IoT como ativos críticos quando expostos, aplicando patches no menor intervalo possível após advisories públicos — especialmente em falhas exploradas por botnets de reconhecimento como JDY. Segmentação, desativação de administração remota desnecessária, autenticação forte e inventário contínuo reduzem a superfície de comprometimento e a probabilidade de o equipamento ser absorvido ao enxame.
- Aplicar imediatamente correções para vulnerabilidades de borda divulgadas publicamente, incluindo CVE-2026-35616 quando aplicável ao parque de dispositivos
- Restringir ou monitorar tráfego Tor saindo de roteadores, firewalls e IoT corporativos ou gerenciados
- Implementar detecção de varredura interna/externa correlacionada e alertas para sondagens SYN de alta taxa originadas de equipamentos SOHO
- Revisar logs de execução de scripts e downloads temporários em dispositivos embarcados; buscar artefatos removidos pós-execução via memória ou tráfego de rede
- Rotacionar credenciais administrativas em equipamentos de borda suspeitos, isolar hosts comprometidos e validar ausência de comunicação residual com infraestrutura C2
0 Comentários