Militar

A botnet JDY, anteriormente associada a atores de ameaça chineses como o Volt Typhoon, ampliou significativamente seu escopo de ataque e esforços de reconhecimento. Pesquisadores da Black Lotus Labs, da Lumen, monitoraram a atividade da JDY, que atualmente foca fortemente nos Estados Unidos, onde muitos de seus dispositivos comprometidos estão localizados, especialmente em redes militares e associadas. Desde janeiro de 2024, o número de bots ativos cresceu de aproximadamente 650 para mais de 1.500 dispositivos SOHO e IoT comprometidos. A JDY não é uma botnet de DDoS, mas sim uma rede distribuída de escaneamento e reconhecimento, ajudando seus operadores a localizar alvos vulneráveis a falhas recém-divulgadas. A análise indica que a botnet se concentra em identificar infraestruturas vulneráveis logo após a divulgação pública de falhas, com um foco particular em setores críticos, como o militar. A CISA já havia alertado sobre os riscos que os operadores do Volt Typhoon representam para roteadores SOHO desprotegidos, enfatizando a necessidade de eliminar vulnerabilidades nas interfaces de gerenciamento web desses dispositivos. A JDY utiliza serviços ocultos do Tor para controle e comando, realizando uma variedade de escaneamentos e coleta de dados sobre vulnerabilidades. À medida que a atividade da JDY aumenta, é crucial que as organizações mantenham seus dispositivos atualizados e monitorem atividades de escaneamento incomuns.