A espionagem cibernética patrocinada por estados não para de evoluir, e um novo alerta da Lumen Technologies acaba de revelar a extensão real de uma ameaça que muitos acreditavam estar controlada. A botnet JDY, ligada a atores estatais chineses, não apenas sobreviveu à desarticulação do seu projeto-pai como cresceu silenciosamente até ultrapassar 1.500 dispositivos comprometidos, focando infraestruturas militares e críticas ao redor do mundo. Neste artigo do Blog Dolutech, analisamos em profundidade como essa rede funciona, quais dispositivos estão em risco e o que organizações precisam fazer agora.
O Que é a Botnet JDY e de Onde Ela Vem
Para entender a ameaça atual, é preciso recuar até dezembro de 2023. Foi nesse período que o Black Lotus Labs, o braço de pesquisa de ameaças da Lumen Technologies, identificou pela primeira vez o cluster JDY como parte integrante da então chamada KV-botnet, uma rede secreta utilizada pelo grupo de espionagem chinês Volt Typhoon para operações encubertas contra infraestrutura crítica norte-americana.
O nome “JDY” foi derivado de artefatos encontrados nos certificados X.509 dos nós comprometidos. Desde o início, a divisão de funções era clara: enquanto o cluster KV era reservado para operações manuais contra alvos de alto valor previamente selecionados, o cluster JDY executava varreduras automatizadas em larga escala para identificar e mapear serviços expostos, alimentando o KV com dados de reconhecimento.
Em janeiro de 2024, o Departamento de Justiça dos Estados Unidos, em conjunto com o FBI, realizou uma operação que desarticulou a infraestrutura central da KV-botnet. Naquele momento, o número de bots ativos no cluster JDY caiu de aproximadamente 1.500 para cerca de 650 dispositivos. Muitos analistas acreditaram que a ameaça havia sido substancialmente neutralizada. Estavam errados.
A Ressurgência: De 650 para Mais de 1.500 Dispositivos
O mais recente relatório do Black Lotus Labs revelou que a JDY não apenas se recuperou como dobrou de tamanho. A rede cresceu dos 650 bots registados em janeiro de 2024 para mais de 1.500 dispositivos SOHO e IoT comprometidos, operando hoje como uma capacidade de reconhecimento independente e de alto desempenho.
A Lumen descreve a JDY atual como um “esforço de reconhecimento industrializado”, e essa expressão não é exagerada. O botnet funciona como uma máquina de varredura centralizada e controlada, capaz de descobrir, identificar e mapear continuamente serviços expostos na internet em escala global. Os dados coletados fluem para servidores centrais, onde são processados e repassados a grupos APT chineses para exploração posterior.
Conforme identificado pelos pesquisadores, a análise das atividades demonstra foco claro em identificar infraestruturas vulneráveis logo após divulgações públicas de novas falhas de segurança, o que indica que o output de reconhecimento é rapidamente operacionalizado por atores APT vinculados à China.
A velocidade é um elemento preocupante: a JDY foi observada realizando varreduras direcionadas à CVE-2026-35616, uma falha no FortiClient EMS da Fortinet, poucos dias após a divulgação pública do problema pela fabricante.
Arquitetura Técnica: Como a JDY Opera
Composição dos Dispositivos Comprometidos
A composição da botnet evoluiu significativamente desde suas origens. Se antes o cluster era dominado por roteadores Cisco RV320 e RV325 em fim de vida útil, hoje a rede é muito mais heterogênea. Entre os dispositivos comprometidos estão equipamentos das marcas:
- Cisco (roteadores SOHO)
- Araknis Networks
- Mimosa Networks
- Ubiquiti
- DrayTek
- Hikvision
- Linksys
As arquiteturas de processador afetadas incluem MIPS, MIPS64, MIPSEL e MIPSEL64, o que confirma o foco em hardware embarcado típico de roteadores e dispositivos IoT.
A maioria dos dispositivos infectados está localizada nos Estados Unidos e no Brasil, dois dos países com maior concentração de infraestrutura SOHO exposta à internet.
Cadeia de Infecção
A cadeia de ataque começa com a exploração de vulnerabilidades recém-divulgadas em dispositivos de borda. Um dropper em shell script é entregue ao sistema-alvo e verifica se o malware já está ativo. Caso contrário, procede ao download do payload principal adequado à arquitetura do processador identificado. Uma vez executado, o malware se apaga do disco, dificultando análises forenses.
Capacidades de Reconhecimento
Uma vez instalado, o malware realiza as seguintes operações:
- Fingerprinting do host: identificação do sistema, serviços e versões
- Recebimento de tarefas de varredura via servidor C2 central
- Probing em alto volume via TCP, SSL, UDP e ICMP
- Captura de respostas, incluindo certificados TLS e metadados de serviços
- Reporte dos resultados ao servidor de despacho para análise centralizada
Uma funcionalidade que merece destaque é a capacidade do malware de adaptar sua metodologia de varredura conforme os privilégios obtidos no sistema local, tornando a operação mais eficaz em ambientes com diferentes níveis de controle de acesso.
A Evasão de Defesas Baseadas em IP
A grande quantidade de dispositivos SOHO/IoT localizados nos próprios Estados Unidos representa uma vantagem estratégica para os operadores da JDY. O uso de IPs residenciais e de pequenas empresas como pontos de varredura permite contornar mecanismos de defesa baseados em geofencing, reputação de IP e listas de bloqueio estáticas, ferramentas comuns em ambientes corporativos e governamentais.
Ligação com Volt Typhoon e o Ecossistema APT Chinês
A conexão da JDY com o Volt Typhoon não é nova, mas a sua continuidade após a queda da KV-botnet reforça uma realidade que a Dolutech vem acompanhando: grupos APT patrocinados por estados têm capacidade de reconstruir e reorientar infraestrutura rapidamente após perturbações.
O Volt Typhoon é um ator estatal da República Popular da China ativo desde pelo menos 2021, com foco em infraestrutura crítica norte-americana e de territórios associados, incluindo Guam. O grupo é reconhecido pelo MITRE ATT&CK (G1017) e pela CISA por suas táticas de “living off the land” (LOTL), ou seja, o uso de ferramentas legítimas já presentes nos sistemas-alvo para evitar detecção.
As técnicas MITRE ATT&CK mais relevantes associadas à operação JDY/Volt Typhoon incluem:
| Técnica MITRE | ID | Descrição |
|---|---|---|
| Active Scanning | T1595 | Varredura ativa de infraestrutura exposta |
| Gather Victim Host Information | T1592 | Coleta de informações sobre endpoints-alvo |
| Gather Victim Network Information | T1590 | Mapeamento de topologia e serviços de rede |
| Command and Scripting Interpreter | T1059 | Execução via shell script para entrega do payload |
| Resource Development | TA0042 | Criação e manutenção de infraestrutura da botnet |
Suspeita-se ainda que a botnet seja ofertada pelos operadores a múltiplos grupos de hackers chineses como serviço de reconhecimento, um modelo de “botnet-as-a-service” dedicado à fase de pré-exploração.
Setores e Países Mais Impactados
O alvo prioritário da JDY é a rede militar e associada dos Estados Unidos. No entanto, o alcance da botnet é global. O Brasil destaca-se como o segundo país com maior concentração de dispositivos comprometidos, o que representa um alerta direto para organizações brasileiras.
Os setores mais expostos incluem:
- Defesa e infraestrutura militar
- Telecomunicações
- Energia e utilities
- Governo e administração pública
- Saúde e infraestrutura crítica
Do ponto de vista regulatório brasileiro, a presença de dispositivos IoT e SOHO comprometidos em território nacional com ligação a atores estatais estrangeiros levanta questões sérias no âmbito da LGPD (Lei Geral de Proteção de Dados), especialmente quanto à segurança de dados pessoais tratados por organizações cujas redes possam estar sendo mapeadas. A ANPD (Autoridade Nacional de Proteção de Dados) exige que incidentes de segurança com potencial de impacto sejam reportados.
Na Europa, a situação enquadra-se diretamente no escopo da Diretiva NIS2, que obriga operadores de entidades essenciais e importantes a implementar medidas de gestão de risco cibernético adequadas, incluindo segurança da cadeia de fornecimento e de dispositivos de perímetro. O CERT.PT e o CNCS (Centro Nacional de Cibersegurança) acompanham ativamente ameaças de origem estatal que possam afetar Portugal e a União Europeia.
Como Mitigar: Protegendo Dispositivos SOHO e IoT
A botnet JDY explora uma superfície de ataque frequentemente negligenciada: o perímetro de pequenas redes. Roteadores domésticos, firewalls SOHO e câmeras IP raramente recebem a mesma atenção de segurança que servidores e endpoints corporativos. Essa negligência é o combustível que alimenta redes como a JDY.
Medidas Imediatas
1. Inventário e atualização de firmware: Identifique todos os dispositivos de rede em uso, verifique se estão recebendo atualizações de segurança e aplique patches imediatamente após a divulgação de novas vulnerabilidades. A velocidade da JDY em explorar CVEs recém-divulgadas torna esse ponto crítico.
2. Substituição de equipamentos em fim de vida: Dispositivos que não recebem mais atualizações do fabricante devem ser substituídos com urgência. Roteadores Cisco RV320/RV325 e outros modelos sem suporte ativo são alvos fáceis.
3. Desativação da interface de gestão remota: Sempre que possível, desative o acesso remoto à interface web de gerenciamento (WMI) de roteadores e firewalls. A CISA já recomendou formalmente que fabricantes eliminem essas vulnerabilidades ainda na fase de design.
4. Segmentação de rede: Isole dispositivos IoT em VLANs separadas, impedindo que um dispositivo comprometido sirva como ponto de entrada para redes internas mais sensíveis.
5. Monitoramento de tráfego de saída: Varreduras em alto volume TCP/UDP/ICMP originadas de dispositivos internos são indicadores de comprometimento. Implemente regras de detecção de anomalias no tráfego de saída.
6. Revogação e rotação de credenciais: Dispositivos SOHO frequentemente permanecem com credenciais de fábrica. Altere imediatamente todas as senhas padrão e implemente autenticação robusta onde disponível.
Indicadores de Comprometimento (IOCs)
Para equipes de segurança que monitoram a ameaça, a Lumen Technologies disponibiliza indicadores de comprometimento associados à infraestrutura JDY. Recomendamos consultar diretamente o relatório do Black Lotus Labs e integrar os IOCs fornecidos nas plataformas de threat intelligence utilizadas pela sua organização.
Conclusão: O Reconhecimento Precede o Ataque
A botnet JDY é um lembrete de que o reconhecimento é a fase mais silenciosa, mais paciente e, muitas vezes, a mais subestimada de uma cadeia de ataque. Uma rede que não explora diretamente, não causa interrupção imediata de serviços e não exfiltra dados de forma ostensiva pode passar despercebida por meses ou anos, enquanto alimenta silenciosamente os planeamentos ofensivos de grupos APT altamente capacitados.
O fato de a JDY ter não apenas sobrevivido à desarticulação do KV-botnet, mas ter dobrado de tamanho no período seguinte, demonstra a resiliência operacional de grupos patrocinados por estados e a necessidade de uma postura defensiva igualmente persistente. A ameaça não é só técnica, é estratégica.
Nós, na Dolutech, continuaremos a acompanhar a evolução desta ameaça e de outras operações cibernéticas de origem estatal. O nosso compromisso é fornecer inteligência de ameaças acessível, precisa e acionável para profissionais de segurança em Portugal, no Brasil e em toda a comunidade lusófona.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
