Lumen relie le réseau JDY de 1 500 appareils à des acteurs soutenus par la Chine, avertissant qu’il cartographie rapidement les systèmes d’entreprise exposés après la divulgation, ce qui fait pression sur les délais de mise à jour des correctifs et sape les défenses basées sur IP.
Un botnet composé de petits bureaux et d’appareils Internet des objets compromis s’est développé pour devenir un réseau de reconnaissance plus vaste, capable d’identifier rapidement les systèmes vulnérables accessibles sur Internet après des divulgations publiques de vulnérabilités, ont indiqué les chercheurs.
Le botnet, suivi par Black Lotus Labs de Lumen sous le nom de JDY, comprend désormais plus de 1 500 petits bureaux et bureaux à domicile, ou SOHO, et appareils IoT, et est utilisé pour « découvrir, empreintes digitales et cartographier en continu les services exposés à grande échelle ».
Lumen a déclaré que cette activité est liée à des acteurs soutenus par l’État-nation chinois, notamment Volt Typhoon. Les résultats mettent en évidence un défi croissant pour les équipes de sécurité des entreprises. De nombreux systèmes de périphérie d’entreprise restent en dehors de la surveillance traditionnelle des points finaux, ce qui donne aux adversaires la possibilité de passer rapidement de la divulgation des vulnérabilités à la reconnaissance ciblée.
Lumen a ajouté que l’infrastructure distribuée de JDY peut également aider les opérateurs à échapper au géorepérage et à d’autres défenses basées sur IP, car l’activité peut sembler provenir d’un trafic Internet résidentiel ou de petites entreprises légitime.
JDY mine plusieurs hypothèses défensives sur lesquelles de nombreuses entreprises s’appuient encore, selon Sakshi Grover, directeur de recherche principal pour IDC Asia Pacific Cybersecurity Services.
Le géorepérage et les contrôles de réputation IP ont une valeur limitée lorsqu’ils sont utilisés isolément, a déclaré Grover, tandis que les listes de blocage statiques sont structurellement faibles contre les botnets qui font continuellement tourner les infrastructures compromises. JDY révèle également un déficit de visibilité plus large autour des appareils de périphérie, qui sont souvent difficiles à surveiller pour les entreprises avec la même rigueur que les points finaux et les charges de travail cloud.
La reconnaissance se rapproche de l’attaque
Les analystes estiment que les RSSI ne devraient pas considérer JDY comme un simple botnet parmi d’autres.
« L’activité JDY signalée montre une concentration claire sur la découverte, la prise d’empreintes digitales et la cartographie continue des services exposés à grande échelle, y compris peu de temps après les divulgations publiques de vulnérabilités », a déclaré Grover. « Cela indique un modèle plus industrialisé de reconnaissance pré-exploitation, dans lequel les appareils de pointe compromis sont utilisés non seulement pour perturber ou abuser des produits, mais pour générer des renseignements de ciblage en temps opportun pour les opérations de suivi. »
Cela signifie que les appareils SOHO et IoT compromis ne seront peut-être pas la cible finale. Au lieu de cela, ils fournissent la couche d’analyse utilisée pour identifier l’infrastructure d’entreprise exposée, notamment les routeurs, les pare-feu, les VPN, les caméras et autres systèmes connectés à Internet.
Devashri Datta, chercheur en cybersécurité, a déclaré que les RSSI devraient considérer JDY comme la preuve d’un changement dans la façon dont la reconnaissance est opérationnalisée.
« Si JDY figure dans votre registre des risques sous « gestion de routine des botnets », votre stratégie défensive échouera avant de commencer », a déclaré Datta. « JDY n’est pas conçu pour effectuer des attaques DDoS, voler des informations d’identification ou exploiter des cryptomonnaies. Il s’agit d’un moteur d’analyse hautes performances contrôlé de manière centralisée. »
Les délais de mise à jour sont sous pression
L’activité d’analyse soulève également la question de savoir si les délais conventionnels de gestion des vulnérabilités sont toujours réalisables pour les systèmes périmétriques exposés à Internet.
« Les correctifs traditionnels basés sur les SLA ne sont plus défendables pour les appareils périmétriques », a déclaré Datta.
La taille du botnet importe moins que la vitesse de son cycle de ciblage, selon Sanchit Vir Gogia, analyste en chef chez Greyhound Research. « 1 500 appareils qui détectent les bons systèmes vulnérables en quelques heures valent plus que cent mille appareils générant du bruit », a déclaré Gogia. « L’exploitation ne commence plus lorsque le code malveillant arrive. Elle commence lorsque l’exposition est découverte. »
Le problème est que JDY a peut-être déjà collecté une grande partie des informations dont les attaquants ont besoin avant qu’une nouvelle vulnérabilité ne soit divulguée. Datta a déclaré que la reconnaissance du botnet peut inclure les adresses IP, les configurations de ports, les informations de protocole, les bannières de service, les versions TLS, les métadonnées des certificats et les domaines associés.
Cela donne aux opérateurs une longueur d’avance lorsqu’une faille critique devient publique. Lumen a déclaré que Black Lotus Labs avait observé une augmentation sélective des analyses des équipements Fortinet peu de temps après la divulgation du CVE-2026-35616, indiquant la capacité et l’intention d’identifier les appareils vulnérables avant que les correctifs ne soient largement appliqués.
Pour les RSSI, a déclaré Datta, la réponse nécessite des playbooks pré-approuvés pour les périphériques périmétriques, y compris des correctifs accélérés, des modifications de la liste de contrôle d’accès, une désactivation temporaire des fonctionnalités exposées et un verrouillage des interfaces de gestion.
