Çin bağlantılı JDY botneti, siber güvenlik araştırmacıları tarafından yeniden canlanma ve genişleme belirtileri gösteriyor. Lumen'in Black Lotus Labs ekibine göre, bu gizli ağ 1500'den fazla SOHO ve IoT cihazını kapsıyor ve merkezi olarak yönetilen yüksek performanslı bir tarayıcı olarak çalışıyor.
JDY, ilk olarak Aralık 2023'te KV-botnet adlı başka bir botnetin parçası olarak tespit edilmişti. ABD hükümetinin 2024 başında KV-botnet'i çökertmesinin ardından, botnet operatörleri davranış değişiklikleri yaparak bağımsız bir yapıya dönüştü. Şu anda Volt Typhoon gibi Çinli hacker grupları tarafından kullanılıyor.
Botnetin boyutu Ocak 2024'te 650 bottan bugün 1500'ün üzerine çıktı. Ele geçirilen cihazların çoğu ABD ve Brezilya'da bulunuyor, ardından Avrupa ve Asya geliyor. Black Lotus Labs, Brezilya'daki kümenin son dönemde Brezilyalı kurbanlardan oluşan botnetlerin arttığını gösterdiğini belirtiyor.
Botnet, daha önce ağırlıklı olarak Cisco RV320 ve RV325 yönlendiricilerinden oluşurken, şimdi Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision ve Linksys gibi çeşitli markaları kapsıyor. Bu çeşitlilik, botnet operatörlerinin geleneksel IP tabanlı kontrolleri atlatmasına yardımcı oluyor.
JDY'nin mimarisi katmanlı olup, operatörler enfekte altyapıyı yönetmek için Tor düğümlerini kullanıyor. Botnet, yeni keşfedilen güvenlik açıklarını silah haline getirerek (örneğin CVE-2026-35616) hedefli tarama ve servis parmak izi çıkarma işlemleri yapıyor. Bu faaliyetler, Çinli tehdit aktörlerinin hedeflerine yönelik istihbarat toplamayı amaçlıyor.