A **botnet JDY**, uma rede de malware previamente associada a atores de ameaças chineses como a **Volt Typhoon**, expandiu significativamente seu escopo de alvo e esforços de reconhecimento. De acordo com pesquisadores do **Black Lotus Labs** da **Lumen**, que monitoram sua atividade, a JDY mantém um forte foco nos Estados Unidos, onde muitos de seus dispositivos comprometidos estão localizados e onde ela ataca pesadamente redes militares e associadas. A empresa de segurança observa que a JDY cresceu de aproximadamente 650 bots ativos em janeiro de 2024 para mais de 1.500 dispositivos SOHO e IoT comprometidos atualmente. Embora os números pareçam baixos, é importante notar que a JDY não é um framework de exploração ou uma botnet DDoS que requer grandes enxames para acumular poder de fogo, mas sim uma rede distribuída de varredura e fingerprinting que ajuda seus operadores a localizar alvos vulneráveis a falhas recém-divulgadas. "A análise desta atividade mostra um foco claro na identificação de infraestrutura vulnerável logo após a divulgação pública de vulnerabilidades, sugerindo que o resultado do reconhecimento é rapidamente operacionalizado por atores de ameaças persistentes avançadas (APT) com nexo chinês", afirma o [relatório do Black Lotus Labs](https://www.lumen.com/blog/en-us/expanded-jdy-iot-and-soho-botnet-enables-rapid-vulnerability-exploitation). "Este foco direcionado tem sido observado em uma variedade de setores, com os militares dos EUA e entidades associadas como os mais proeminentes."  **CISA** já alertou sobre o risco que os operadores da **Volt Typhoon** representam para roteadores SOHO desprotegidos, instando os fornecedores de dispositivos de rede a eliminar vulnerabilidades nas interfaces de gerenciamento web (WMIs) de roteadores SOHO durante as fases de design e desenvolvimento. A **botnet JDY** é projetada para realizar descoberta de serviços, banner grabbing de serviços, coleta de certificados TLS, fingerprinting de protocolos e reconhecimento focado em falhas. Entre os dispositivos comprometidos estão aqueles da **Cisco**, **Araknis**, **Mimosa Networks**, **Ubiquiti**, **DrayTek**, **Hikvision** e **Linksys**, para arquiteturas MIPS, MIPS64, MIPSEL e MIPSEL64. Os atores de ameaças são rápidos em explorar vulnerabilidades recém-divulgadas, com pesquisadores da Lumen observando varreduras da JDY visando **CVE-2026-35616** logo após a **Fortinet** divulgar publicamente a falha do FortiClient EMS.  Os operadores controlam a botnet através de serviços Tor ocultos, que também servem como infraestrutura de comando e controle (C2). O framework de reverse-shell e gerenciamento de host de código aberto **Platypus** também é usado em alguns casos.  O cliente da botnet se registra em um "Serviço de Despacho" central e recebe atribuições de varredura, que executa, comprime os resultados e os envia de volta para o C2. O módulo de varredura suporta o seguinte: * Varredura TCP * Varredura SSL/TLS * Varredura UDP * Sondagem ICMP * Coleta de banners * Coleta de certificados TLS * Fingerprinting de serviços usando conjuntos de regras para download O cliente da botnet repete o mesmo ciclo até que o operador ordene especificamente que ele pare. A função de varredura TCP é uma das mais tecnicamente interessantes, dizem os pesquisadores, explicando que, quando a JDY possui privilégios suficientes, ela realiza varredura SYN bruta muito mais rápida e furtiva. "Se o malware puder abrir um socket bruto, o que geralmente requer privilégios de root ou administrador, ele inicia a varredura SYN de alta velocidade usando pacotes TCP criados sob medida", explica o relatório. "Esses pacotes personalizados usam uma porta de origem fixa de 19000, incrementam as portas de destino uma a uma e processam em lote milhares de alvos de varredura."  Com o aumento da atividade da **botnet JDY**, as organizações devem garantir que roteadores, firewalls e dispositivos IoT estejam executando as atualizações e patches de segurança mais recentes para evitar que sejam recrutados em redes de reconhecimento. Os defensores também devem reduzir sua superfície de ataque externa desabilitando interfaces administrativas desnecessárias expostas à internet, restringindo o acesso de gerenciamento remoto, substituindo credenciais padrão e monitorando atividades de varredura de saída incomuns originadas de dispositivos de borda.