สรุปสั้น
บอตเน็ต JDY ที่เชื่อมโยงกับกลุ่มภัยคุกคามระดับรัฐของจีน ขยายจำนวนอุปกรณ์ที่ถูกยึดครองจาก 650 เครื่องในช่วงต้นปี 2567 เป็นมากกว่า 1,500 เครื่องในปัจจุบัน โดยอุปกรณ์ที่ตกเป็นเหยื่อเป็นเราเตอร์ของสำนักงานขนาดเล็กและสำนักงานที่บ้าน หรือที่เรียกว่า SOHO (Small Office/Home Office), ไฟร์วอลล์ และอุปกรณ์ IoT จากหลากหลายผู้ผลิต ทั้ง Cisco, Ubiquiti, Draytek, Hikvision และ Linksys ระบบเหล่านี้ถูกใช้เป็นโครงข่ายสแกนหาช่องโหว่ในอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตอย่างเป็นระบบ แล้วส่งข้อมูลให้กลุ่ม APT ของจีนนำไปใช้โจมตีเป้าหมายต่อ
บริษัท Lumen Black Lotus Labs รายงานว่า JDY เดิมเป็นส่วนหนึ่งของ KV-botnet ที่เชื่อมโยงกับกลุ่ม Volt Typhoon หลังรัฐบาลสหรัฐฯ ทลาย KV-botnet ในต้นปี 2567 กลุ่มผู้ดำเนินการได้ปรับเปลี่ยนพฤติกรรมและขยายขอบเขตการติดมัลแวร์ให้ครอบคลุมอุปกรณ์หลากหลายรุ่นมากขึ้น ความสามารถที่โดดเด่นคือการสแกนหาช่องโหว่ที่เพิ่งเปิดเผยต่อสาธารณะและส่งข้อมูลกลับภายในเวลาไม่กี่ชั่วโมงหลัง CVE ถูกประกาศ แสดงให้เห็นถึงปฏิบัติการสอดแนมทางไซเบอร์แบบอุตสาหกรรมที่ยังคงดำเนินต่อแม้ถูกขัดขวางแล้ว
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 10 มิถุนายน พ.ศ. 2569 ว่า นักวิจัยจากบริษัท Lumen Black Lotus Labs ได้เผยแพร่รายงานเตือนถึงการกลับมาและขยายตัวของบอตเน็ต JDY ซึ่งเป็นเครือข่ายอุปกรณ์ที่ถูกยึดครองเพื่อใช้ในปฏิบัติการสอดแนมทางไซเบอร์ของกลุ่มภัยคุกคามระดับรัฐจากจีน
JDY ถูกระบุตัวตนครั้งแรกในเดือนธันวาคม 2566 ว่าเป็นคลัสเตอร์หนึ่งภายใน KV-botnet ที่ถูกใช้โดยกลุ่ม Volt Typhoon หลังจากรัฐบาลสหรัฐฯ ดำเนินการทลาย KV-botnet ในต้นปี 2567 คลัสเตอร์หลักของ KV เกือบหยุดทำงานทั้งหมด แต่ JDY กลับฟื้นตัวและขยายขนาดอย่างรวดเร็ว จากเดิม 650 เครื่องเป็นมากกว่า 1,500 เครื่อง
อุปกรณ์ที่ติดมัลแวร์ส่วนใหญ่ตั้งอยู่ในสหรัฐฯ และบราซิล ตามด้วยยุโรปและเอเชีย ซึ่งเดิม JDY ประกอบด้วยเราเตอร์ Cisco RV320/RV325 เป็นหลัก แต่ปัจจุบันครอบคลุมอุปกรณ์จาก Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision และ Linksys จำนวนอุปกรณ์ในสหรัฐฯ ที่มากช่วยให้ผู้โจมตีหลบเลี่ยงการตรวจจับแบบ geofencing และ IP reputation ได้อย่างมีประสิทธิภาพ
สถาปัตยกรรมของบอตเน็ตเป็นแบบหลายชั้น ผู้ดำเนินการใช้ Tor node ในการจัดการโครงสร้างพื้นฐาน รวมถึงเซิร์ฟเวอร์ C2 และเซิร์ฟเวอร์ payload เซิร์ฟเวอร์ C2 จะสั่งให้บอตทำการสแกนเป้าหมายเฉพาะและสร้าง fingerprint ของระบบ แทนที่จะสแกนแบบไม่เลือกเป้า ผลลัพธ์จะถูกส่งไปยังเซิร์ฟเวอร์ส่วนกลางเพื่อรวบรวมข่าวกรองอย่างต่อเนื่อง
วิธีการโจมตี
ห่วงโซ่การโจมตีใช้ประโยชน์จากช่องโหว่ที่เพิ่งเปิดเผยใน edge device เช่น CVE-2026-35616 เพื่อส่ง shell script dropper ที่ตรวจสอบว่ามัลแวร์ทำงานอยู่แล้วหรือไม่ จากนั้นจึงดาวน์โหลด payload หลักตามสถาปัตยกรรมโปรเซสเซอร์ของอุปกรณ์ (mips, mips64, mipsel, mipsel64) เมื่อมัลแวร์เริ่มทำงานจะลบตัวเองออกจากดิสก์ทันที
มัลแวร์มีความสามารถในการสร้าง fingerprint ของอุปกรณ์ host รับคำสั่งสแกนจาก C2 ดำเนินการ probing แบบ TCP, SSL, UDP และ ICMP ในปริมาณมาก จับข้อมูล TLS certificate และ metadata แล้วส่งผลลัพธ์กลับไปยังเซิร์ฟเวอร์ dispatch ความสามารถที่น่าสนใจคือมัลแวร์สามารถปรับวิธีการสแกนตามสิทธิ์บนระบบ — หากมีสิทธิ์ root จะใช้ SYN scanning ด้วย TCP packet แบบ custom แต่หากไม่มีจะใช้ TCP/TLS connection มาตรฐานแทน
ผลกระทบต่อไทย
แม้ว่าเป้าหมายหลักของ JDY จะอยู่ในสหรัฐฯ และบราซิล แต่อุปกรณ์ SOHO และ IoT จากผู้ผลิตเดียวกัน เช่น Ubiquiti, Draytek และ Hikvision มีการใช้งานอย่างแพร่หลายในไทย โดยเฉพาะเราเตอร์ Draytek ที่นิยมในภาคธุรกิจ SME และกล้อง Hikvision ที่ใช้ในระบบ CCTV ทั่วประเทศ อุปกรณ์เหล่านี้อาจตกเป็นเหยื่อของบอตเน็ตได้หากไม่อัปเดตเฟิร์มแวร์ นอกจากนี้ข้อมูลสอดแนมที่ JDY รวบรวมอาจถูกใช้ระบุเป้าหมายโครงสร้างพื้นฐานในภูมิภาคอาเซียนสำหรับปฏิบัติการในอนาคต
คำแนะนำ
ผู้ดูแลระบบควรตรวจสอบและอัปเดตเฟิร์มแวร์ของเราเตอร์ของสำนักงานขนาดเล็กและสำนักงานที่บ้าน ไฟร์วอลล์ และอุปกรณ์ IoT ให้เป็นเวอร์ชันล่าสุด โดยเฉพาะอุปกรณ์จาก Cisco, Draytek, Ubiquiti และ Hikvision ควรปิดการเข้าถึง management interface จากอินเทอร์เน็ต ตรวจสอบทราฟฟิกขาออกที่ผิดปกติจากอุปกรณ์เครือข่าย และพิจารณาเปลี่ยนอุปกรณ์ที่หมดอายุการสนับสนุนซึ่งไม่ได้รับแพตช์ความปลอดภัยแล้ว
