中国系JDYボットネット、米軍ネットワークへの標的を拡大

Volt Typhoonのような中国系脅威アクターとの関連が以前から指摘されていたマルウェアネットワーク「JDYボットネット」が、標的範囲と偵察活動を大幅に拡大しています。

Lumenの研究部門であるBlack Lotus Labsが継続的に活動を監視した結果、JDYは米国への強い関心を維持しており、感染デバイスの多くが米国内に存在し、軍および関連ネットワークを重点的に標的にしていることが明らかになっています。

同社によると、JDYは2024年1月時点の約650台の稼働ボットから、現在では1,500台以上の感染SOHO・IoTデバイスにまで規模を拡大しています。

数字だけを見ると少なく感じるかもしれませんが、JDYはエクスプロイトフレームワークや、攻撃力の蓄積に大規模な群れを必要とするDDoSボットネットではありません。その実態は、新たに公開された脆弱性に対して脆弱なターゲットをオペレーターが特定するための、分散型スキャン・フィンガープリンティングネットワークです。

「この活動の分析から、脆弱性の公開直後に脆弱なインフラを特定することへの明確な注力が確認されました。偵察結果が中国系のAPT（高度持続的脅威）アクターによって迅速に実戦活用されていることを示唆しています」と、Black Lotus Labsのレポートは述べています。

「この標的化の傾向は幅広いセクターにわたって観察されており、米軍および関連機関への攻撃が最も顕著です」

CISAはかねてより、保護されていないSOHOルーターに対してVolt Typhoonの工作員が及ぼすリスクについて警告を発しており、ネットワーク機器ベンダーに対し、SOHOルーターのウェブ管理インターフェース（WMI）の脆弱性を設計・開発段階で排除するよう求めています。

JDYボットネットは、サービスディスカバリ、サービスバナーグラビング、TLS証明書の収集、プロトコルフィンガープリンティング、脆弱性に焦点を当てた偵察を実行するよう設計されています。

感染デバイスには、Cisco、Araknis、Mimosa Networks、Ubiquiti、DrayTek、Hikvision、Linksysなどのメーカー製品が含まれており、MIPS、MIPS64、MIPSEL、MIPSEL64アーキテクチャに対応しています。

脅威アクターは新たに公開された脆弱性を素早く標的にしており、FortinetがFortiClient EMSの脆弱性を公開した直後に、LumenのリサーチャーがCVE-2026-35616を標的としたJDYのスキャンを観測しています。

オペレーターはTorの隠しサービスを通じてボットネットを制御しており、これがコマンド＆コントロール（C2）インフラとしても機能しています。場合によっては、オープンソースのリバースシェル・ホスト管理フレームワーク「Platypus」も使用されています。

マルウェアは中央の「Dispatch Service（ディスパッチサービス）」に登録してスキャンの指示を受け取り、それを実行してから結果を圧縮してC2に送り返します。

スキャンモジュールは以下をサポートしています：

• TCPスキャン
• SSL/TLSスキャン
• UDPスキャン
• ICMPプロービング
• バナー収集
• TLS証明書のハーベスティング
• ダウンロード可能なルールセットによるサービスフィンガープリンティング

ボットネットクライアントは、オペレーターが明示的に停止命令を出すまで、同じサイクルを繰り返し実行します。

研究者によると、TCPスキャン機能は技術的に最も注目すべき機能の一つです。JDYが十分な権限を持っている場合、より高速かつステルス性の高いRAW SYNスキャンを実行します。

「マルウェアがRAWソケットを開くことができる場合（通常、rootまたは管理者権限が必要）、カスタム作成されたTCPパケットを使用した高速SYNスキャンを開始します」とレポートは説明しています。

「これらのカスタムパケットは固定ソースポート19000を使用し、宛先ポートを1つずつ増加させながら、数千のスキャンターゲットをバッチ処理します」

JDYボットネットの活動が拡大する中、組織はルーター、ファイアウォール、IoTデバイスに最新のセキュリティアップデートとパッチが適用されていることを確認し、偵察ネットワークへの組み込みを防ぐ必要があります。

また、防御側はインターネットに公開されている不要な管理インターフェースの無効化、リモート管理アクセスの制限、デフォルト認証情報の変更、そしてエッジデバイスから発生する異常なアウトバウンドスキャン活動の監視を通じて、外部への攻撃面を縮小することが求められます。