Botnet JDY fuori controllo: 1.500 router bucati per anticipare le patch di sicurezza

La crescita delle infrastrutture di ricognizione rappresenta una delle tendenze più significative dell’attuale panorama delle minacce informatiche. Tra queste emerge il botnet JDY, una rete di dispositivi compromessi che secondo le analisi di Black Lotus Labs ha più che raddoppiato le proprie dimensioni negli ultimi due anni, superando quota 1.500 dispositivi distribuiti tra router SOHO, appliance di rete e sistemi IoT. La particolarità di JDY non risiede nella capacità di eseguire direttamente attacchi distruttivi o campagne ransomware, bensì nella sua funzione di piattaforma di intelligence e ricognizione al servizio di operazioni più ampie attribuite ad attori collegati alla Cina. Attraverso scansioni continue e altamente automatizzate, il botnet raccoglie informazioni dettagliate su servizi esposti, configurazioni vulnerabili e dispositivi non aggiornati, consentendo ad altri gruppi offensivi di intervenire rapidamente dopo la pubblicazione di nuove vulnerabilità. In un contesto in cui il tempo tra disclosure e sfruttamento si misura ormai in ore anziché settimane, infrastrutture come JDY rappresentano un moltiplicatore strategico per le operazioni di spionaggio e compromissione mirata.

JDY cresce da 650 a oltre 1.500 dispositivi compromessi

L’espansione del botnet JDY evidenzia una notevole capacità di resilienza. Nel gennaio 2024 la rete contava circa 650 dispositivi attivi in comunicazione con l’infrastruttura di comando e controllo. Oggi il numero supera i 1.500 nodi, nonostante i tentativi di contrasto e le operazioni di smantellamento che hanno colpito cluster correlati negli ultimi anni. Questa crescita non rappresenta soltanto un incremento numerico ma anche un’evoluzione operativa. JDY è diventata una piattaforma di ricognizione autonoma, capace di raccogliere dati su larga scala e alimentare in modo costante operazioni di intelligence informatica.

I dispositivi compromessi risultano distribuiti prevalentemente negli Stati Uniti, ma sono presenti anche in numerosi Paesi europei e asiatici. Ogni nodo viene identificato attraverso un probe_id derivato da un hash MD5 delle informazioni di sistema e associato a uno specifico group ID, consentendo agli operatori di organizzare le sonde in gruppi distinti. Le versioni del malware risultano codificate direttamente nei binari, con release identificate da numerazioni come 1.8.3.9. L’aumento della dimensione complessiva della rete permette scansioni più frequenti e capillari, riducendo drasticamente il tempo necessario per individuare nuovi bersagli vulnerabili.

Router SOHO e dispositivi IoT restano il bersaglio principale

L’infrastruttura JDY prende di mira soprattutto dispositivi presenti nei segmenti meno protetti delle reti aziendali e domestiche. Router SOHO, appliance edge e dispositivi IoT rappresentano infatti obiettivi ideali perché spesso rimangono esposti a Internet con firmware obsoleti, configurazioni deboli o credenziali non aggiornate. Inizialmente il botnet era stato osservato principalmente su dispositivi Cisco RV320 e Cisco RV325, ma l’ecosistema si è progressivamente ampliato includendo apparati di numerosi produttori.

Oggi tra i marchi maggiormente colpiti figurano Cisco, Araknis, Mimosa Networks, Ubiquiti, DrayTek, Hikvision e Linksys. Cisco continua a rappresentare la categoria più numerosa, con circa 500 dispositivi compromessi identificati dagli analisti. Il malware supporta architetture MIPS, MIPS64 e MIPSEL, particolarmente diffuse nei router e nei sistemi embedded utilizzati nelle reti periferiche. Questa ampia compatibilità consente agli operatori di espandere rapidamente la propria presenza sfruttando vulnerabilità già note o sistemi non aggiornati. L’eterogeneità dell’infrastruttura rende inoltre più difficile il rilevamento centralizzato e contribuisce a distribuire il traffico di scansione in modo da confonderlo con attività apparentemente legittime.

Architettura sofisticata e scansioni multiprotocollo

Uno degli aspetti più interessanti di JDY riguarda la complessità della sua architettura operativa. Il malware esegue scansioni multiprotocollo utilizzando TCP, UDP, SSL e sonde assistite da ICMP, raccogliendo una grande quantità di informazioni sui sistemi raggiungibili. I dati acquisiti includono banner di servizio, certificati TLS, metadati di protocollo e impronte digitali dei dispositivi individuati. L’infrastruttura di comando e controllo utilizza servizi nascosti della rete Tor, rendendo più difficile individuare gli operatori reali e l’ubicazione dei server di backend.

Alcuni nodi integrano inoltre lo strumento open source Platypus, utilizzato per gestire connessioni reverse shell e attività di amministrazione remota. Il ciclo operativo segue una struttura ben definita: identificazione del dispositivo compromesso, raccolta delle informazioni di sistema, comunicazione con il server di comando, ricezione delle istruzioni operative, scansione degli obiettivi, raccolta dei risultati e invio dei dati compressi e cifrati. Questa automazione permette al botnet di mantenere un flusso continuo di intelligence senza richiedere interventi manuali frequenti da parte degli operatori.

Il malware adatta le scansioni ai privilegi disponibili

JDY mostra una notevole capacità di adattamento all’ambiente compromesso. Durante la fase di installazione un leggero dropper Bash verifica la presenza di processi esistenti, identifica l’architettura hardware e scarica il payload più adatto al dispositivo. Una volta attivato, il malware modifica il comportamento delle scansioni in base ai privilegi disponibili. Se dispone di accesso root, utilizza tecniche di SYN scanning ad alta velocità attraverso la porta sorgente 19000, consentendo una raccolta molto rapida delle informazioni.

In assenza di privilegi elevati ricorre invece a connessioni TCP e SSL standard per evitare anomalie che potrebbero attirare l’attenzione degli strumenti di sicurezza. I risultati delle scansioni vengono aggregati in bundle JSON, compressi e trasmessi in forma cifrata ai server di controllo. Questa flessibilità consente alla rete di operare efficacemente su dispositivi molto diversi tra loro, mantenendo un livello elevato di efficienza anche in ambienti con limitazioni operative.

La forza di JDY è la velocità dopo la disclosure delle vulnerabilità

L’elemento che distingue maggiormente JDY rispetto ad altre infrastrutture di scansione riguarda la rapidità di reazione agli annunci pubblici di vulnerabilità. Gli analisti hanno osservato un incremento quasi immediato delle attività di scansione in seguito alla pubblicazione di nuove CVE, dimostrando che gli operatori monitorano costantemente bollettini di sicurezza e advisory pubbliche. Un caso emblematico riguarda la vulnerabilità CVE-2026-35616 che interessa prodotti Fortinet. Dopo la divulgazione pubblica del problema il 5 aprile 2026, il botnet ha aumentato sensibilmente il volume delle scansioni rivolte ai sistemi potenzialmente vulnerabili. Questo comportamento suggerisce che JDY non venga utilizzato direttamente per lo sfruttamento ma come piattaforma di raccolta dati a supporto di operazioni successive. Una volta identificati i sistemi non aggiornati, le informazioni possono essere trasferite ad altri gruppi offensivi che si occupano delle fasi di compromissione vera e propria. Tale modello riduce drasticamente la finestra temporale a disposizione delle organizzazioni per applicare le patch e rende particolarmente critici i ritardi nella gestione delle vulnerabilità.

Collegamenti con attività di intelligence attribuite alla Cina

Secondo le valutazioni di Black Lotus Labs, JDY presenta caratteristiche compatibili con operazioni di intelligence attribuite ad attori cinesi. Sebbene non siano stati pubblicati dettagli definitivi sull’identità degli operatori, la struttura della rete, i target osservati e le modalità operative risultano coerenti con precedenti campagne di raccolta informazioni associate all’ecosistema cyber cinese. Il botnet sembra infatti concentrarsi sulla costruzione di un archivio costantemente aggiornato di dispositivi esposti e servizi vulnerabili piuttosto che sulla monetizzazione immediata attraverso ransomware o frodi finanziarie. Questo approccio è tipico delle operazioni di spionaggio strategico, nelle quali la disponibilità di dati accurati sui bersagli rappresenta un vantaggio fondamentale per attività successive. La presenza di nodi distribuiti in numerose regioni geografiche permette inoltre di effettuare scansioni da punti differenti della rete globale, riducendo il rischio di blocchi e aumentando la capacità di raccogliere informazioni su infrastrutture critiche e sistemi governativi.

Difesa e mitigazione richiedono monitoraggio continuo

La crescita del botnet JDY evidenzia ancora una volta l’importanza della gestione proattiva delle vulnerabilità. Gli esperti raccomandano di seguire le linee guida pubblicate dal National Cyber Security Centre britannico e di adottare architetture SASE per limitare la superficie esposta verso Internet. Per router, firewall e dispositivi IoT risulta fondamentale applicare tempestivamente gli aggiornamenti di sicurezza, verificare la configurazione dei servizi accessibili dall’esterno e pianificare riavvii periodici dei sistemi. L’integrazione di piattaforme di threat intelligence consente inoltre di monitorare gli indicatori di compromissione associati a JDY e individuare attività di scansione anomale prima che possano essere sfruttate da attori più aggressivi. La segmentazione della rete e il controllo degli accessi rappresentano ulteriori misure utili per limitare l’impatto di eventuali compromissioni. La persistenza e la continua espansione di JDY dimostrano che il ruolo delle infrastrutture di ricognizione è destinato a crescere ulteriormente nei prossimi anni. In un panorama dove la velocità di sfruttamento delle vulnerabilità aumenta costantemente, la capacità di individuare rapidamente i sistemi esposti sta diventando una delle risorse più preziose per gli attori delle minacce avanzate.