Identifié comme une composante de KV-botnet fin 2023, le botnet JDY a non seulement survécu aux efforts de démantèlement américains, mais il a également prospéré. Sa taille a plus que doublé depuis janvier 2024, passant de 650 à plus de 1 500 appareils compromis.
Essentiellement des routeurs et des objets connectés de particuliers ou de petites entreprises pour ce qui est présenté par Black Lotus Labs comme un réseau de reconnaissance lié à des activités impliquant la Chine. Il se tourne notamment vers des cibles en rapport avec le domaine militaire.
Une évoulution en une menace persistante
L’évolution de JDY est marquée par une résilience et une adaptation. Initialement un simple cluster de KV-botnet, il est devenu une capacité de reconnaissance indépendante après le démantèlement partiel de son réseau parent.
» La persistance de JDY illustre comment les réseaux de reconnaissance modernes survivent aux démantèlements et s’adaptent en tant que capacité durable au sein d’un écosystème adverse plus large « , écrit Black Lotus Labs.
Une force du botnet est sa distribution géographique, avec une majorité de nœuds situés aux États-Unis. Les opérateurs du botnet peuvent se fondre dans le trafic utilisateur légitime et contourner des défenses usuelles.
JDY en outil de reconnaissance
JDY n’est pas un botnet conçu pour des attaques par déni de service, mais un outil sophistiqué de reconnaissance et de profilage.
Son infrastructure de commande et de contrôle est dissimulée derrière des services Tor, ce qui rend la traçabilité des opérateurs complexe. Les bots reçoivent des missions de scan ciblées, collectent des informations sur les services exposés, puis renvoient les données compressées à un serveur.
L’une de ses fonctionnalités les plus avancées est son moteur de scan adaptatif. Si le malware obtient des privilèges élevés, il utilise une technique bien plus rapide et furtive.
Les chercheurs soulignent sa réactivité, avec des scans ciblant une faille Fortinet (CVE-2026-35616) qui ont été observés quelques heures seulement après sa divulgation publique.
Des défenses traditionnelles inefficaces
L’architecture décentralisée de JDY rend les contrôles de sécurité traditionnels obsolètes. Le géorepérage (geofencing), les listes de blocage statiques et la détection basée sur la réputation d’IP sont largement inefficaces.
Le botnet transforme des milliers de points d’accès domestiques en avant-postes pour ses opérations d’espionnage, rendant la détection d’autant plus ardue.
Face à cette menace, les organisations sont appelées à renforcer leur posture de sécurité. Il est aussi crucial de s’assurer que les routeurs, pare-feu et appareils IoT disposent des dernières mises à jour de sécurité.
Les experts recommandent de réduire la surface d’attaque externe en désactivant les interfaces d’administration exposées sur Internet, en modifiant les identifiants par défaut et en surveillant toute activité de scan sortante inhabituelle.