Le **botnet JDY**, un réseau de malware précédemment associé à des acteurs de menace chinois comme **Volt Typhoon**, a considérablement élargi son périmètre de ciblage et ses efforts de reconnaissance. Selon les chercheurs de **Black Lotus Labs** par **Lumen**, qui surveillent son activité, JDY maintient une forte concentration sur les États-Unis, où se trouvent bon nombre de ses appareils compromis et où il cible intensivement les réseaux militaires et associés. La société de sécurité note que JDY est passé d'environ 650 bots actifs en janvier 2024 à plus de 1 500 appareils SOHO et IoT compromis aujourd'hui. Bien que les chiffres semblent bas, il est important de noter que JDY n'est pas un framework d'exploitation ou un botnet DDoS qui nécessite de grandes quantités d'appareils pour accumuler de la puissance de feu, mais est plutôt un réseau distribué de scan et d'empreintes digitales qui aide ses opérateurs à localiser les cibles vulnérables aux failles nouvellement divulguées. "L'analyse de cette activité montre une focalisation claire sur l'identification des infrastructures vulnérables peu de temps après la divulgation publique des vulnérabilités, suggérant que les résultats de la reconnaissance sont rapidement opérationnalisés par des acteurs de menace persistante avancée (APT) liés à la Chine", indique le [rapport de Black Lotus Labs](https://www.lumen.com/blog/en-us/expanded-jdy-iot-and-soho-botnet-enables-rapid-vulnerability-exploitation). "Cette focalisation ciblée a été observée sur un éventail de secteurs, les militaires américains et les entités associées étant les plus proéminents."  **CISA** a précédemment mis en garde contre le risque que les opérateurs de **Volt Typhoon** représentent pour les routeurs SOHO non protégés, exhortant les fabricants d'appareils réseau à éliminer les vulnérabilités dans les interfaces de gestion Web (WMI) des routeurs SOHO pendant les phases de conception et de développement. Le **botnet JDY** est conçu pour effectuer la découverte de services, la récupération de bannières de services, la collecte de certificats TLS, l'empreinte digitale de protocoles et la reconnaissance axée sur les failles. Parmi les appareils compromis figurent ceux de **Cisco**, **Araknis**, **Mimosa Networks**, **Ubiquiti**, **DrayTek**, **Hikvision** et **Linksys**, pour les architectures MIPS, MIPS64, MIPSEL et MIPSEL64. Les acteurs de la menace ciblent rapidement les vulnérabilités nouvellement divulguées, les chercheurs de Lumen observant des scans JDY ciblant **CVE-2026-35616** peu de temps après que **Fortinet** ait divulgué publiquement la faille FortiClient EMS.  Les opérateurs contrôlent le botnet via des services Tor cachés, qui servent également d'infrastructure de commande et de contrôle (C2). Le framework open-source de reverse-shell et de gestion d'hôtes **Platypus** est également utilisé dans certains cas.  Le malware s'enregistre auprès d'un "Service de Dispatch" central et reçoit des tâches de scan, qu'il exécute, compresse les résultats et les renvoie au C2. Le module de scan prend en charge les éléments suivants : * Scan TCP * Scan SSL/TLS * Scan UDP * Sondage ICMP * Collecte de bannières * Récolte de certificats TLS * Empreinte digitale de services à l'aide d'ensembles de règles téléchargeables Le client du botnet répète le même cycle jusqu'à ce que l'opérateur lui ordonne spécifiquement de s'arrêter. La fonction de scan TCP est l'une des plus intéressantes techniquement, selon les chercheurs, qui expliquent que lorsque JDY dispose des privilèges suffisants, il effectue un scan SYN brut beaucoup plus rapide et discret. "Si le malware peut ouvrir un socket brut, ce qui nécessite généralement des privilèges root ou administratifs, il initie un scan SYN à haute vitesse en utilisant des paquets TCP personnalisés", explique le rapport. "Ces paquets personnalisés utilisent un port source fixe de 19000, incrémentent les ports de destination un par un et traitent par lots des milliers de cibles de scan."  Alors que l'activité du **botnet JDY** augmente, les organisations doivent s'assurer que leurs routeurs, pare-feu et appareils IoT exécutent les dernières mises à jour et correctifs de sécurité pour éviter qu'ils ne soient recrutés dans des réseaux de reconnaissance. Les défenseurs devraient également réduire leur surface d'attaque externe en désactivant les interfaces administratives inutiles exposées à Internet, en restreignant l'accès à la gestion à distance, en remplaçant les identifiants par défaut et en surveillant les activités de scan sortantes inhabituelles provenant des appareils périphériques.