Das **JDY Botnet**, ein Malware-Netzwerk, das zuvor mit chinesischen Bedrohungsakteuren wie **Volt Typhoon** in Verbindung gebracht wurde, hat seinen Zielumfang und seine Aufklärungsbemühungen erheblich erweitert. Laut Forschern von **Black Lotus Labs** by **Lumen**, die seine Aktivitäten beobachten, behält JDY einen starken Fokus auf die Vereinigten Staaten, wo sich viele seiner kompromittierten Geräte befinden und wo es stark auf militärische und zugehörige Netzwerke abzielt. Das Sicherheitsunternehmen stellt fest, dass JDY von etwa 650 aktiven Bots im Januar 2024 auf heute über 1.500 kompromittierte SOHO- und IoT-Geräte angewachsen ist. Auch wenn die Zahlen gering erscheinen, ist es wichtig zu beachten, dass JDY kein Exploitation-Framework oder ein DDoS-Botnet ist, das große Schwärme benötigt, um Feuerkraft zu sammeln, sondern stattdessen ein verteiltes Scan- und Fingerprinting-Netzwerk, das seinen Betreibern hilft, Ziele zu lokalisieren, die für neu enthüllte Schwachstellen anfällig sind. "Die Analyse dieser Aktivität zeigt einen klaren Fokus auf die Identifizierung anfälliger Infrastrukturen kurz nach öffentlichen Schwachstellenoffenlegungen, was darauf hindeutet, dass die Aufklärungsergebnisse von fortgeschrittenen persistenten Bedrohungsakteuren (APT) mit China-Nexus schnell operationalisiert werden", heißt es im [Black Lotus Labs Report](https://www.lumen.com/blog/en-us/expanded-jdy-iot-and-soho-botnet-enables-rapid-vulnerability-exploitation). "Dieser gezielte Fokus wurde in einer Reihe von Sektoren beobachtet, wobei das US-Militär und zugehörige Einheiten die prominentesten sind."  **CISA** hat zuvor vor dem Risiko gewarnt, das **Volt Typhoon**-Operative für ungeschützte SOHO-Router darstellen, und Netzwerkgerätehersteller aufgefordert, Schwachstellen in den Webmanagement-Schnittstellen (WMIs) von SOHO-Routern während der Design- und Entwicklungsphasen zu beseitigen. Das **JDY Botnet** ist darauf ausgelegt, Service Discovery, Service Banner Grabbing, TLS-Zertifikatssammlung, Protokoll-Fingerprinting und schwachstellenorientierte Aufklärung durchzuführen. Zu den kompromittierten Geräten gehören solche von **Cisco**, **Araknis**, **Mimosa Networks**, **Ubiquiti**, **DrayTek**, **Hikvision** und **Linksys** für MIPS-, MIPS64-, MIPSEL- und MIPSEL64-Architekturen. Die Bedrohungsakteure zielen schnell auf neu enthüllte Schwachstellen ab. Lumen-Forscher beobachteten JDY-Scans, die auf **CVE-2026-35616** abzielten, kurz nachdem **Fortinet** die FortiClient EMS-Schwachstelle öffentlich gemacht hatte.  Die Betreiber steuern das Botnet über versteckte Tor-Dienste, die auch als Command-and-Control (C2)-Infrastruktur dienen. Das Open-Source-Reverse-Shell- und Host-Management-Framework **Platypus** wird in einigen Fällen ebenfalls verwendet.  Der Malware-Client registriert sich bei einem zentralen "Dispatch Service" und erhält Scan-Aufgaben, die er ausführt, die Ergebnisse komprimiert und an das C2 zurücksendet. Das Scan-Modul unterstützt Folgendes: * TCP-Scanning * SSL/TLS-Scanning * UDP-Scanning * ICMP-Probing * Banner-Sammlung * TLS-Zertifikat-Ernte * Service-Fingerprinting mit herunterladbaren Regelwerken Der Botnet-Client wiederholt denselben Zyklus, bis der Betreiber ihn ausdrücklich anweist, zu stoppen. Die TCP-Scanning-Funktion ist eine der technisch interessantesten, sagen die Forscher und erklären, dass JDY, wenn es über ausreichende Berechtigungen verfügt, viel schnellere und unauffälligere Raw-SYN-Scans durchführt. "Wenn die Malware einen Raw Socket öffnen kann, was im Allgemeinen Root- oder Administratorrechte erfordert, initiiert sie Hochgeschwindigkeits-SYN-Scans mit speziell erstellten TCP-Paketen", erklärt der Bericht. "Diese benutzerdefinierten Pakete verwenden einen festen Quellport von 19000, erhöhen die Zielports nacheinander und verarbeiten Tausende von Scan-Zielen in Batches."  Da die Aktivitäten des **JDY Botnet** zunehmen, sollten Organisationen sicherstellen, dass Router, Firewalls und IoT-Geräte die neuesten Sicherheitsupdates und Patches ausführen, um zu verhindern, dass sie in Aufklärungsnetzwerke rekrutiert werden. Verteidiger sollten auch ihre externe Angriffsfläche reduzieren, indem sie unnötige, internetexponierte Verwaltungs-Schnittstellen deaktivieren, den Fernzugriff auf die Verwaltung einschränken, Standardanmeldeinformationen ersetzen und ungewöhnliche ausgehende Scan-Aktivitäten von Edge-Geräten überwachen.