JDYボットネット

サイバーセキュリティ研究者らは、中国寄りの国家支援型脅威アクターと関連する秘密ネットワークであるJDYが著しく復活・拡大していることを確認した。JDYは当初、2023年12月に大規模なKVボットネットインフラストラクチャ内のクラスターとして検出されたが、その後、独立した非常に効果的な偵察プラットフォームへと進化を遂げた。

このネットワークは、侵害された1,500台以上のSOHO（スモールオフィス/ホームオフィス）およびIoT（モノのインターネット）デバイスで構成されています。JDYは直接攻撃を主目的とするのではなく、大規模なインターネット公開サービスを検出、フィンガープリンティング、継続的にマッピングできる、中央管理型の高性能スキャンシステムとして機能します。

Volt Typhoonを含む中国の脅威グループは、これまでこのネットワークを情報収集や標的特定活動に活用してきた。

KVボットネット摘発後の適応

米国政府が2024年初頭にKVボットネットを解体した後、JDYの運営者は活動方法を変更した。二次的なKVクラスターはほぼ消滅したが、JDYは進化と拡大を続けた。研究者らは、このインフラは複数の中国のハッキンググループと共有されている可能性があり、また運営者自身も偵察活動に直接利用していると考えている。

最近の調査によると、このマルウェアは現在、より広範囲のデバイスを標的としており、より大規模なスキャンエコシステムにおけるデータ収集レイヤーとして機能していることが明らかになった。JDYによって収集された構造化された偵察情報は、標的の選択とそれに続く悪用活動を容易にするシステムに供給される。

特に懸念されるのは、JDYが脆弱性の公表後、迅速に脆弱なシステムを特定する役割を担っている点である。この行動は、高度に組織化された偵察活動の存在を示唆しており、その調査結果は後に中国の国家主体によって利用される可能性がある。

急速な成長とグローバル展開

このボットネットは著しい成長を遂げており、2024年1月時点の感染デバイス数約650台から、現在では1,500台以上のシステムにまで増加している。感染ノードの大部分は米国とブラジルに集中しており、ヨーロッパとアジアにも一部集中している。ブラジルのデバイス数の増加は、ボットネットがブラジル国内の侵害されたシステムにますます依存するようになっているという、より広範な傾向を反映している。

JDYのデバイスエコシステムも大幅に多様化しました。以前のバージョンでは主にCisco RV320およびRV325ルーターに依存していましたが、現在のネットワークには複数のベンダーのハードウェアが含まれています。

• シスコ
• アラクニス
• ミモザネットワークス
• ユビキティ

この多様性によって、ネットワークの回復力が強化され、運用範囲が拡大する。

正規のインターネットトラフィックに紛れ込む

JDYのインフラストラクチャの大部分は、米国に拠点を置くSOHOおよびIoTデバイスで構成されています。この構成により、通信事業者は、ジオフェンシング制限、IPレピュテーションフィルタリング、静的ブロックリストなど、従来の多くのセキュリティ対策を回避することができます。

偵察活動を数千もの侵害されたIPアドレスに分散させることで、攻撃者は単一のシステムがスキャン元として特定され、ブロックされる可能性を低減させている。さらに、正規の消費者向けデバイスや中小企業向けデバイスを使用することで、悪意のあるトラフィックが通常のインターネット活動に自然に溶け込み、検出が著しく困難になる。

ステルス性を重視した階層型インフラストラクチャ

JDYは、高度で階層化されたアーキテクチャを通じて動作します。攻撃者はTorノードを使用して、コマンド＆コントロール（C2）インフラストラクチャとペイロード配信サーバーの両方を管理し、作戦活動を隠蔽します。

C2サーバーは、インターネット全体を無差別にスキャンするのではなく、感染したデバイスに対して標的を絞った偵察およびプロファイリング任務を割り当てる。収集された情報は中央サーバーに送信され、そこで集約・分析されて、より広範な中国のサイバー作戦および戦略目標を支援するために活用される。

新たに明らかになった脆弱性の悪用

JDYに関連する攻撃チェーンは、CVE-2026-35616などのエッジデバイスにおける新たに公開された脆弱性を悪用することが多い。攻撃が成功すると、シェルスクリプトのドロッパーが配信され、まず標的システムにマルウェアが既に存在するかどうかを確認する。

アクティブな感染が検出されない場合、ドロッパーは被害者のプロセッサアーキテクチャに基づいて適切なマルウェアペイロードを取得します。これには、MIPS、MIPS64、MIPSEL、およびMIPSEL64システム用のバリアントが含まれます。ダウンロードされたマルウェアは実行されると、フォレンジック調査による検出を減らすためにディスクから自身を削除します。

高度な偵察および適応型スキャン機能

このマルウェアの主な目的は、直接的な攻撃ではなく、情報収集です。起動すると、侵害されたホストのフィンガープリントを取得し、中央コマンドインフラストラクチャからスキャン指示を受け取り、大規模なネットワークプロービングを実行し、TLS証明書やサービスメタデータなどの応答データを収集し、調査結果をディスパッチサーバーに報告します。

そのスキャンエンジンは適応性が高く、感染したデバイス上で利用可能な権限に応じて動作を調整します。

ルートレベルのアクセス権限が利用可能な場合、マルウェアは生のソケットを開き、独自に作成したTCPパケットを使用して高速SYNスキャンを実行します。
特権昇格が利用できない場合、またはWebベースの偵察が必要な場合は、標準的なTCPおよびTLS接続に依存し、UDPおよびICMPベースのプロービング技術も使用できます。

この柔軟性により、JDYは侵害された幅広いシステムにおいて偵察効果を最大限に高めることができる。

中国の脅威アクターによる持続的な偵察能力

研究者らは、JDYを通じて収集された情報が、資産発見活動、脆弱性を標的としたワークフロー、および下流の悪用または攻撃オーケストレーションプラットフォームを支援すると考えている。

このボットネットは、現代のIoTおよびSOHOデバイスネットワークが、セキュリティ上の欠陥が公になった直後に脆弱なインフラストラクチャを特定できる、迅速な対応が可能な偵察プラットフォームへとますます変貌を遂げている様子を示している。その継続的な成長は、個々のクラスターやノードを妨害しても、その根底にある機能を必ずしも排除できるわけではないことを示している。

JDYがKVボットネットの補助要素から独立した高性能偵察プラットフォームへと変貌を遂げたことは、現代のサイバー脅威エコシステムの持続性と適応性を浮き彫りにしている。摘発後もインフラは進化を続け、新たな脆弱性が明らかになってからわずか数時間以内に、攻撃者に実用的な標的情報を提供し続ける。