Le botnet JDY, un réseau de logiciels malveillants déjà lié à des menaces chinoises comme Volt Typhoon, a élargi ses objectifs et ses activités de reconnaissance.
Les experts de Black Lotus Labs, qui surveillent son activité, rapportent que JDY garde une concentration marquée sur les États-Unis. De nombreux appareils compromis s’y trouvent, et le réseau cible fortement les infrastructures militaires et associées.
Selon cette firme de sécurité, le botnet est passé d’environ 650 appareils actifs en janvier 2024 à plus de 1.500 équipements compromis aujourd’hui. Il s’agit principalement de routeurs domestiques et de périphériques IoT.
Ce chiffre peut sembler faible, mais JDY ne fonctionne pas comme un réseau classique de déni de service. Son rôle est plutôt de réaliser un balayage distribué et une collecte d’empreintes, ce qui aide ses opérateurs à localiser des cibles vulnérables à de nouvelles failles.
« L’analyse de cette activité montre une focalisation nette sur l’identification d’infrastructures vulnérables juste après la publication de failles, ce qui suggère que les résultats de la reconnaissance sont rapidement utilisés par des groupes d’attaquants avancés liés à la Chine », indique le rapport de Black Lotus Labs. Cette cible prioritaire a été observée dans divers secteurs, avec des entités militaires américaines en tête de liste.
Source : Black Lotus Labs
L’agence américaine CISA avait déjà alerté sur les risques que représentent des opérateurs comme Volt Typhoon pour les routeurs domestiques non protégés. Elle avait exhorté les fabricants à éliminer les vulnérabilités des interfaces de gestion web lors de la phase de conception.
Le botnet JDY est conçu pour réaliser la découverte de services, la collecte de bannières, la récupération de certificats TLS, l’empreinte de protocoles et la reconnaissance ciblée sur des failles spécifiques.
Les appareils compromis incluent des modèles de Cisco, Araknis, Ubiquiti, DrayTek et Linksys, parmi d’autres, pour des architectures MIPS et MIPS64.
Les attaquants réagissent très vite aux nouvelles failles divulguées. Les chercheurs de Lumen ont observé des scans JDY ciblant la vulnérabilité CVE-2026-35616 peu après que Fortinet ait publié des informations sur cette faille de son produit FortiClient EMS.
Source : Black Lotus Labs
Les opérateurs contrôlent le botnet via des services cachés du réseau Tor, qui servent aussi d’infrastructure de commande et contrôle. Le framework open source Platypus, utilisé pour la gestion d’hôtes et les shells inversés, est également employé dans certains cas.
Source : Black Lotus Labs
Le malware s’enregistre auprès d’un « Service de Dispatching » central et reçoit des missions de balayage. Il exécute ces missions, compresse les résultats et les renvoie vers le serveur de commande.
Son module de balayage prend en charge les fonctions suivantes :
- Balayage TCP
- Balayage SSL/TLS
- Balayage UDP
- Sondage ICMP
- Collecte de bannières
- Récolte de certificats TLS
- Empreinte de services avec des ensembles de règles téléchargeables
Le client du botnet répète ce cycle jusqu’à ce que l’opérateur lui ordonne explicitement de s’arrêter.
La fonction de balayage TCP est l’une des plus intéressantes techniquement, selon les chercheurs. Lorsque JDY dispose de privilèges suffisants, il effectue un balayage SYN brut qui est beaucoup plus rapide et furtif.
« Si le malware peut ouvrir une socket brute, ce qui nécessite généralement des privilèges d’administrateur, il lance un balayage SYN à haute vitesse avec des paquets TCP spécialement conçus », explique le rapport. Ces paquets personnalisés utilisent un port source fixe à 19000, incrémentent les ports de destination un par un, et traitent par lots des milliers de cibles de scan.
Source : Black Lotus Labs
Face à la montée en puissance du botnet JDY, les organisations doivent s’assurer que leurs routeurs, pare-feux et appareils IoT exécutent les derniers correctifs de sécurité pour éviter qu’ils ne soient recrutés dans ces réseaux de reconnaissance.
Les équipes de défense doivent aussi réduire leur surface d’attaque externe. Pour cela, elles peuvent désactiver les interfaces d’administration exposées inutilement, restreindre l’accès à la gestion à distance, remplacer les identifiants par défaut et surveiller toute activité de balayage sortant inhabituelle provenant des appareils en périphérie du réseau.