JDY 봇넷 정찰 확대
요약
JDY는 SOHO·IoT 장비를 기반으로 움직이는 분산 정찰 봇넷이다. 2026-06-10 공개 보도에서 Black Lotus Labs 분석을 인용해, 활성 봇 규모가 2024년 1월 약 650대에서 1,500대 이상으로 늘었다고 설명됐다.
관측된 초점은 대규모 DDoS보다 서비스 탐색, banner collection, TLS certificate harvesting, protocol fingerprinting에 가깝다. 미국 내 감염 장비와 U.S. military 및 연관 네트워크 대상 정찰이 언급됐지만, 공개 자료만으로 특정 침해 성공이나 후속 exploit chain까지 단정할 근거는 부족하다.
| 항목 | 내용 |
|---|---|
| 공개일 | 2026-06-10 |
| 성격 | SOHO·IoT 장비 기반 분산 정찰 봇넷 |
| 규모 | 1,500대 이상 compromised devices로 보도 |
| 이전 규모 | 2024년 1월 약 650 active bots |
| 연계 언급 | Volt Typhoon 등 중국계 threat actor와의 과거 연관 |
| 주요 대상 | 미국, U.S. military 및 연관 네트워크 |
| 주요 기능 | TCP, SSL/TLS, UDP, ICMP 기반 탐색, banner collection, TLS certificate harvesting, rule set 기반 service fingerprinting |
| 장비군 | Cisco, Araknis, Mimosa Networks, Ubiquiti, DrayTek, Hikvision, Linksys 등 |
| 아키텍처 | MIPS, MIPS64, MIPSEL, MIPSEL64 |
| C2 | hidden Tor services, 일부 Platypus 사용 언급 |
| 관측 단서 | outbound scan, TLS probe, 고정 source port 19000 raw SYN scan 가능성 |
의미
JDY는 취약점 자체를 실행하는 exploit 도구라기보다, 새로 노출된 서비스와 취약 가능성이 있는 자산을 빠르게 찾는 정찰 계층에 가깝다. 경계 장비에서 외부 다수 대상으로 반복되는 outbound scanning은 단순 잡음이 아니라 정찰 인프라 편입 신호로 봐야 한다.
정찰 흐름
공개 분석에 따르면 JDY malware는 중앙 Dispatch Service에 등록한 뒤 scanning assignment를 받는다. 이후 대상에 대해 TCP, SSL/TLS, UDP, ICMP probe를 수행하고, 수집한 banner, TLS certificate, service fingerprint 결과를 압축해 C2로 전송한다. 이 루프는 operator가 중지 명령을 내릴 때까지 반복되는 구조로 설명됐다.
### compromised SOHO/IoT device
-> register to Dispatch Service
-> receive scan assignment
-> perform TCP/TLS/UDP/ICMP probing
-> collect banners, certificates, fingerprints
-> compress results
-> return results to C2 over Tor-linked infrastructure
코드 수준 단서
기사에 인용된 Black Lotus Labs 분석은 TCP scanning 동작을 비교적 구체적으로 설명한다. Malware가 raw socket을 열 수 있으면 kernel TCP connect 흐름을 거치지 않고 custom TCP packet으로 SYN scan을 수행한다. raw socket 사용은 일반적으로 root 또는 administrative privilege가 필요하다.
| 요소 | 확인 가능한 의미 |
|---|---|
| raw socket | 권한이 충분한 장비에서 custom TCP packet 기반 SYN scan 가능 |
fixed source port 19000 | 네트워크 탐지 규칙에 활용 가능한 구체적 단서 |
| sequential destination ports | 대상 포트를 순차 증가시키며 scan |
| batch processing | 다수 target을 묶어 처리 |
| downloadable rule sets | service fingerprinting 로직을 operator가 갱신 가능 |
이 단서는 단일 IOC보다 행위 조합으로 보는 편이 낫다. 특히 edge device가 외부 다수 IP로 짧은 시간에 TCP SYN, TLS handshake, banner probe를 반복하는지 확인한다.
title: Edge Device JDY-Like Outbound Reconnaissance
status: experimental
description: Detects possible distributed reconnaissance behavior from SOHO or edge network devices
logsource:
category: firewall
detection:
selection_syn_port:
src_port: 19000
action:
- allowed
- permitted
selection_scan_volume:
direction: outbound
protocol:
- tcp
- udp
condition: selection_syn_port or selection_scan_volume
fields:
- src_ip
- src_port
- dest_ip
- dest_port
- protocol
- device_vendor
falsepositives:
- approved vulnerability scanner using fixed source port
- network monitoring appliance
level: medium
탐지 포인트
네트워크
경계 장비에서 외부 다수 목적지로 발생하는 scan 패턴을 먼저 본다. 정상 vulnerability scanner와 구분하려면 장비 역할, 관리 주체, source port, 목적지 분산도, TLS handshake 반복 여부를 함께 확인한다.
SELECT
src_ip,
src_port,
COUNT(DISTINCT dest_ip) AS unique_destinations,
COUNT(DISTINCT dest_port) AS unique_ports,
COUNT(*) AS event_count
FROM firewall_logs
WHERE direction = 'outbound'
AND timestamp >= NOW() - INTERVAL '1 hour'
AND device_role IN ('router', 'firewall', 'vpn', 'iot_gateway')
AND protocol IN ('tcp', 'udp')
GROUP BY src_ip, src_port
HAVING COUNT(DISTINCT dest_ip) > 100
OR src_port = 19000
ORDER BY event_count DESC;
엔드포인트
대상 자산은 인터넷 노출 edge 장비다. 라우터, 방화벽, VPN, NVR, 무선 장비, SOHO gateway에서 WAN 관리 인터페이스가 열려 있으면 정찰 대상이 되기 쉽다.
| 점검 항목 | 관측 방법 |
|---|---|
| 외부 관리 인터페이스 | WAN에서 HTTP, HTTPS, SSH, Telnet, vendor admin port 노출 여부 확인 |
| 기본 계정 | 기본 credential 또는 장기 미변경 계정 사용 여부 확인 |
| 펌웨어 | vendor advisory 기준 보안 업데이트 적용 여부 확인 |
| TLS fingerprinting | 짧은 주기의 certificate collection 패턴 확인 |
서버
C2 관련 흔적은 Tor-linked infrastructure와 비정상 host-management traffic 중심으로 본다. 단, Tor 연결만으로 JDY를 단정하지 말고 edge 장비의 outbound scan, source port 19000, 다수 목적지 probe, TLS certificate 수집 패턴과 결합해 판단한다.
참고 자료
- China-linked JDY botnet expands targeting of U.S. military networks
- China-Linked JDY Botnet Expands to 1,500+ Devices for Cyber Reconnaissance