JDY Bottet refait surface, s'étend aux réseaux militaires cibles
Un botnet autrefois démantelé s'est discrètement reconstitué en une menace plus puissante. Le botnet JDY, lié à des groupes de piratage parrainés par l'État chinois, a refait surface après un démantèlement mené par les États-Unis plus tôt cette année – il exploite désormais plus de 1 500 appareils infectés et cible les réseaux militaires, en particulier aux États-Unis. Les chercheurs en sécurité de Black Lotus Labs, de Lumen, rapportent que le réseau a évolué en un outil de reconnaissance furtif, scannant des appareils SOHO et IoT dans le monde entier pour cartographier à grande échelle les services exposés.
Un réseau construit pour voler
La résurgence du JDY est marquée par sa diversification. Au départ, en s'appuyant sur des routeurs Cisco, le botnet infecte maintenant le matériel des fabricants comme Ubiquiti, Draytek et Hikvision, élargissant ainsi sa portée à de multiples architectures. Plus des deux tiers des nœuds infectés se trouvent aux États-Unis, avec d'autres grappes au Brésil, en Europe et en Asie. Cette propagation géographique n'est pas accidentelle, c'est une tactique délibérée pour échapper aux défenses. En répartissant les scans sur des milliers d'adresses IP, les opérateurs de JDY évitent de déclencher le géoblocage, les filtres de réputation d'adresses IP et les listes de blocage statiques. Les appareils infectés se fondent parfaitement dans le trafic légitime, rendant la détection encore plus difficile.
Comment JDY fonctionne—et pourquoi il est dangereux
L'architecture de botnets est en couches et méticuleuse. Les opérateurs communiquent avec des appareils infectés via des services Tor cachés, garantissant que les serveurs de commande et de contrôle restent obscurcis. Les charges utiles sont déployées de façon transitoire : le dropper télécharge le logiciel malveillant, l'exécute, puis s'efface, laissant peu de traces exploitables. Une fois actif, chaque appareil infecté identifie son hôte – en transmettant le système d'exploitation, l'architecture, la durée de fonctionnement et la version du logiciel malveillant – avant de recevoir des tâches de scan.
Le moteur de scan de JDY s'adapte à son environnement. Avec des privilèges élevés, il forge des paquets TCP personnalisés pour scanner des cibles sans achever la poignée de main, ne laissant que des journaux minimes. Sans un tel accès, il se rabat sur des connexions TCP/TLS standard, recueillant des empreintes détaillées comme des bannières, des certificats SSL et des réponses HTTP. Le vrai danger réside dans ses règles dynamiques. Sur commande de ses contrôleurs, JDY télécharge des instructions précises pour détecter des services spécifiques, transformant chaque routeur en un nœud de reconnaissance de précision. Son accent sur les réseaux militaires suggère une campagne stratégique à long terme.
Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.