Una botnet vinculada al estado chino ha crecido hasta 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas tras la divulgación.

Una botnet vinculada al estado chino ha crecido hasta 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas tras la divulgación.

      TL;DRLa botnet JDY vinculada a China creció de 650 a más de 1,500 dispositivos SOHO hackeados. Escanea nuevas vulnerabilidades en cuestión de horas y alimenta datos de objetivos a hackers estatales.

      Una botnet encubierta vinculada a hackers patrocinados por el estado chino ha más que duplicado su tamaño y ahora escanea vulnerabilidades recién divulgadas en cuestión de horas después de su publicación. La botnet JDY comprende más de 1,500 enrutadores, cortafuegos y dispositivos IoT comprometidos de pequeñas oficinas y oficinas en casa, según una nueva investigación de Black Lotus Labs de Lumen. La mayoría de los nodos infectados se encuentran en Estados Unidos y Brasil.

      JDY fue identificada por primera vez en diciembre de 2023 como un clúster dentro de la KV-botnet, una red utilizada por el grupo de hackers chino Volt Typhoon. El FBI desmanteló la KV-botnet a principios de 2024. Pero JDY sobrevivió, se adaptó y desde entonces ha evolucionado a lo que Black Lotus Labs describe como una capacidad de reconocimiento independiente y de alto rendimiento.

      La botnet no ataca a los objetivos directamente. Escanea, identifica huellas digitales y mapea servicios expuestos a gran escala, luego alimenta los resultados a grupos estatales chinos para su explotación posterior. Black Lotus Labs lo llama un "esfuerzo de reconocimiento industrializado". Los datos fluyen a servidores centrales para la recopilación continua de inteligencia.

      El 💜 de la tecnología de la UELas últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Regístrate ahora!La velocidad es notable. Las cadenas de ataque utilizan vulnerabilidades recién divulgadas en dispositivos de borde para comprometer enrutadores y añadirlos a la red. Una vez infectados, los bots realizan sondeos de alto volumen de TCP, SSL, UDP e ICMP. Capturan certificados TLS y metadatos de servicios, luego informan de vuelta a los servidores de despacho. El objetivo es el mapeo de infraestructura, no la explotación.

      La botnet ha crecido de 650 dispositivos en enero de 2024 a más de 1,500 hoy. Su diversidad de dispositivos también se ha expandido. Donde anteriormente apuntaba a enrutadores Cisco RV320 y RV325, ahora compromete dispositivos de Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision y Linksys.

      Esa diversidad es intencionada. Al distribuir el escaneo a través de una amplia gama de direcciones IP, los operadores evitan que cualquier IP única sea marcada y bloqueada. Utilizar dispositivos SOHO e IoT comprometidos ayuda a que el tráfico se mezcle con la actividad legítima de los usuarios. Los dispositivos basados en EE. UU. también permiten a los operadores evadir controles de geofencing y reputación de IP.

      La arquitectura es en capas. Los operadores gestionan la infraestructura infectada a través de nodos de Tor, incluidos tanto servidores de comando y control como servidores de carga útil. El malware adapta su método de escaneo según sus privilegios en el dispositivo comprometido. El acceso root activa un escaneo SYN de alta velocidad con paquetes personalizados. Sin root, vuelve a conexiones estándar de TCP y TLS.

      "La interrupción de nodos individuales o clústeres no elimina la capacidad subyacente", dijo Black Lotus Labs. "La capacidad persiste, se adapta y continúa proporcionando a los adversarios datos de objetivos oportunos, a menudo dentro de horas de la divulgación de vulnerabilidades". Las campañas de hacking estatales chinas tienen un largo historial de apuntar a la infraestructura de EE. UU., y la botnet JDY muestra que el aparato de reconocimiento detrás de ellas se está volviendo más duradero, no menos.

      Para los defensores, el mensaje es claro. Parchar rápidamente los dispositivos de borde ya no es opcional. Los enrutadores y el hardware IoT que han llegado al final de su vida útil son objetivos principales. Y las defensas tradicionales basadas en IP son ineficaces cuando el tráfico de escaneo proviene de miles de IP residenciales que parecen legítimas en todo el país.

Otros artículos

ChatGPT está recomendando sitios web fraudulentos que robarán la información de tu tarjeta de crédito. ChatGPT está recomendando sitios web fraudulentos que robarán la información de tu tarjeta de crédito. ChatGPT está mostrando clones fraudulentos de sitios web de comercio minorista que ya no están en funcionamiento cuando los usuarios piden recomendaciones de productos, según el servicio de verificación de estafas Ask Silver. Las tiendas falsas están diseñadas para robar información de pago. Pensé que las laptops con Windows de bajo presupuesto estaban muertas, pero Computex me dio nueva esperanza. Pensé que las laptops con Windows de bajo presupuesto estaban muertas, pero Computex me dio nueva esperanza. Computex 2026 hizo que el espacio de las laptops con Windows de bajo presupuesto se sintiera emocionante nuevamente, con Dell y Acer mostrando máquinas de sensación premium que desafían directamente al MacBook Neo de Apple. Una botnet vinculada al estado chino ha crecido a 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas después de la divulgación. Una botnet vinculada al estado chino ha crecido a 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas después de la divulgación. La botnet JDY, vinculada al Tifón Volt de China, ha duplicado su tamaño y ahora escanea en busca de vulnerabilidades recién divulgadas en cuestión de horas. La mayoría de los nodos están en EE. UU. Ahora puedes comprar el Kindle Scribe más asequible en Amazon. Ahora puedes comprar el Kindle Scribe más asequible en Amazon. El Kindle Scribe más asequible finalmente está a la venta por $429.99, y Amazon también ha lanzado la nueva función de lectura Story So Far AI en todos los Kindle modernos. ChatGPT está recomendando sitios web fraudulentos que robarán la información de tu tarjeta de crédito. ChatGPT está recomendando sitios web fraudulentos que robarán la información de tu tarjeta de crédito. ChatGPT está mostrando clones fraudulentos de sitios web de venta al por menor que ya no están en funcionamiento cuando los usuarios piden recomendaciones de productos, según el servicio de verificación de estafas Ask Silver. Las tiendas falsas están diseñadas para robar información de pago. Karp de Palantir dice que Sanders se arrepentirá de solo pedir el 50% de las empresas de IA. La nacionalización completa está en camino. Karp de Palantir dice que Sanders se arrepentirá de solo pedir el 50% de las empresas de IA. La nacionalización completa está en camino. El CEO de Palantir, Alex Karp, dijo a CNBC que la nacionalización total de la IA se convertirá en la posición principal de la izquierda en dos años. Trump y Sanders ya están de acuerdo en un 50%.

Una botnet vinculada al estado chino ha crecido hasta 1,500 enrutadores hackeados y está mapeando objetivos vulnerables en cuestión de horas tras la divulgación.

La botnet JDY, vinculada al Tifón Volt de China, ha duplicado su tamaño y ahora escanea en busca de vulnerabilidades recién divulgadas en cuestión de horas. La mayoría de los nodos se encuentran en EE. UU.