Una botnet vinculada al estado chino ha crecido a 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas después de la divulgación.

Una botnet vinculada al estado chino ha crecido a 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas después de la divulgación.

      TL;DRLa botnet JDY vinculada a China creció de 650 a más de 1,500 dispositivos SOHO hackeados. Escanea nuevas vulnerabilidades en cuestión de horas y alimenta datos de objetivos a los hackers estatales.

      Una botnet encubierta vinculada a hackers patrocinados por el estado chino ha más que duplicado su tamaño y ahora está escaneando vulnerabilidades recién divulgadas en cuestión de horas después de su publicación. La botnet JDY comprende más de 1,500 enrutadores, cortafuegos y dispositivos IoT de pequeñas oficinas y oficinas en casa comprometidos, según una nueva investigación de Black Lotus Labs de Lumen. La mayoría de los nodos infectados se encuentran en Estados Unidos y Brasil.

      JDY fue identificada por primera vez en diciembre de 2023 como un clúster dentro de la KV-botnet, una red utilizada por el grupo de hackers chino Volt Typhoon. El FBI desmanteló la KV-botnet a principios de 2024. Pero JDY sobrevivió, se adaptó y desde entonces ha evolucionado a lo que Black Lotus Labs describe como una capacidad de reconocimiento independiente y de alto rendimiento.

      La botnet no ataca a los objetivos directamente. Escanea, identifica huellas digitales y mapea servicios expuestos a gran escala, luego alimenta los resultados a grupos estatales chinos para una explotación posterior. Black Lotus Labs lo llama un "esfuerzo de reconocimiento industrializado". Los datos fluyen a servidores centrales para la recopilación continua de inteligencia.

      El 💜 de la tecnología de la UELas últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Regístrate ahora!La velocidad es notable. Las cadenas de ataque utilizan vulnerabilidades recién divulgadas en dispositivos de borde para comprometer enrutadores y agregarlos a la red. Una vez infectados, los bots realizan sondeos de alto volumen TCP, SSL, UDP e ICMP. Capturan certificados TLS y metadatos de servicios, luego informan a los servidores de despacho. El objetivo es el mapeo de infraestructura, no la explotación.

      La botnet ha crecido de 650 dispositivos en enero de 2024 a más de 1,500 hoy. Su diversidad de dispositivos también se ha expandido. Donde anteriormente apuntaba a enrutadores Cisco RV320 y RV325, ahora compromete dispositivos de Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision y Linksys.

      Esa diversidad es intencionada. Al distribuir el escaneo a través de una amplia gama de direcciones IP, los operadores evitan que se marque y bloquee una sola IP. Utilizar dispositivos SOHO e IoT comprometidos ayuda a que el tráfico se mezcle con la actividad legítima de los usuarios. Los dispositivos basados en EE. UU. también permiten a los operadores evadir controles de geofencing y reputación de IP.

      La arquitectura es en capas. Los operadores gestionan la infraestructura infectada a través de nodos de Tor, incluidos servidores de comando y control y servidores de carga. El malware adapta su método de escaneo según sus privilegios en el dispositivo comprometido. El acceso root activa un escaneo SYN de alta velocidad con paquetes personalizados. Sin root, vuelve a conexiones TCP y TLS estándar.

      "La interrupción de nodos individuales o clústeres no elimina la capacidad subyacente", dijo Black Lotus Labs. "La capacidad persiste, se adapta y continúa proporcionando a los adversarios datos de objetivos oportunos, a menudo dentro de horas después de la divulgación de vulnerabilidades". Las campañas de hacking estatales chinas tienen un largo historial de apuntar a la infraestructura de EE. UU., y la botnet JDY muestra que el aparato de reconocimiento detrás de ellas se está volviendo más duradero, no menos.

      Para los defensores, el mensaje es claro. Parchar rápidamente los dispositivos de borde ya no es opcional. Los enrutadores y hardware IoT que han llegado al final de su vida útil son objetivos principales. Y las defensas tradicionales basadas en IP son ineficaces cuando el tráfico de escaneo proviene de miles de IP residenciales que parecen legítimas en todo el país.

Otros artículos

Ahora puedes decirle al algoritmo de Instagram exactamente lo que quieres ver en tu feed principal. Ahora puedes decirle al algoritmo de Instagram exactamente lo que quieres ver en tu feed principal. Instagram está dando a los usuarios un control real sobre sus feeds con Tu Algoritmo, una función que te permite agregar y eliminar temas en toda la aplicación. Una botnet vinculada al estado chino ha crecido hasta 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas después de la divulgación. Una botnet vinculada al estado chino ha crecido hasta 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas después de la divulgación. La botnet JDY, vinculada al Tifón Volt de China, ha duplicado su tamaño y ahora escanea en busca de vulnerabilidades recién divulgadas en cuestión de horas. La mayoría de los nodos están en EE. UU. ChatGPT está recomendando sitios web fraudulentos que robarán la información de tu tarjeta de crédito. ChatGPT está recomendando sitios web fraudulentos que robarán la información de tu tarjeta de crédito. ChatGPT está mostrando clones fraudulentos de sitios web de comercio minorista que ya no están en funcionamiento cuando los usuarios piden recomendaciones de productos, según el servicio de verificación de estafas Ask Silver. Las tiendas falsas están diseñadas para robar información de pago. ChatGPT está recomendando sitios web de estafa que robarán la información de tu tarjeta de crédito. ChatGPT está recomendando sitios web de estafa que robarán la información de tu tarjeta de crédito. ChatGPT está mostrando clones fraudulentos de sitios web minoristas inactivos cuando los usuarios piden recomendaciones de productos, según el servicio de verificación de estafas Ask Silver. Las tiendas falsas están diseñadas para robar información de pago. Una botnet vinculada al estado chino ha crecido hasta 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas tras la divulgación. Una botnet vinculada al estado chino ha crecido hasta 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas tras la divulgación. La botnet JDY, vinculada al Tifón Volt de China, ha duplicado su tamaño y ahora escanea en busca de vulnerabilidades recién divulgadas en cuestión de horas. La mayoría de los nodos se encuentran en EE. UU. El tráiler de Social Reckoning ya está disponible, y Jeremy Strong parece ser la elección perfecta para interpretar a Mark Zuckerberg. El tráiler de Social Reckoning ya está disponible, y Jeremy Strong parece ser la elección perfecta para interpretar a Mark Zuckerberg. Aaron Sorkin regresa con The Social Reckoning, una pieza complementaria a The Social Network centrada en el escándalo del denunciante de Facebook y Jeremy Strong como Zuckerberg.

Una botnet vinculada al estado chino ha crecido a 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas después de la divulgación.

La botnet JDY, vinculada al Tifón Volt de China, ha duplicado su tamaño y ahora escanea en busca de vulnerabilidades recién divulgadas en cuestión de horas. La mayoría de los nodos están en EE. UU.