حذّر باحثون في الأمن السيبراني من عودة وانتشار شبكة JDY، وهي شبكة خفية مرتبطة بجهات تهديد مدعومة من الدولة الصينية. وفق تقرير Black Lotus Labs التابع لشركة Lumen، تضم الشبكة حالياً أكثر من 1500 جهاز من فئة SOHO (المكاتب الصغيرة والمنازل) وأجهزة إنترنت الأشياء، وتعمل كماسح عالي الأداء لاكتشاف الخدمات المكشوفة ورسم خريطة للبنية التحتية على نطاق واسع.
ظهرت JDY لأول مرة في ديسمبر 2023 كجزء من شبكة أخرى تُعرف باسم KV-botnet، والتي استُخدمت في عمليات مسح واسعة ضد أهداف الإنترنت. وبعد تفكيك KV-botnet من قبل الحكومة الأميركية مطلع 2024، بدأ مشغلو الشبكة في تعديل سلوكها وتحويلها إلى أداة مستقلة للاستطلاع.
توسع وانتشار عالمي
تشير أحدث النتائج إلى أن JDY توسعت لتشمل أجهزة متنوعة مثل Araknis وUbiquiti وDraytek وHikvision وLinksys، بعدما كانت تعتمد سابقاً على أجهزة Cisco RV320/RV325.
ارتفع عدد الأجهزة المصابة من 650 في يناير 2024 إلى أكثر من 1500 جهاز، معظمها في الولايات المتحدة والبرازيل، إضافة إلى أوروبا وآسيا. ويعكس ذلك اتجاهاً متزايداً نحو استهداف مستخدمين في البرازيل ضمن شبكات البوتنت الحديثة.
تقنيات التخفي والهيكلية
يعتمد مشغلو JDY على بنية متعددة الطبقات، حيث تُدار الأجهزة المصابة عبر عقد Tor للتحكم والسيطرة (C2) وتوزيع المهام. تقوم هذه الأجهزة بعمليات مسح موجهة وبصمات للخدمات، ثم ترسل النتائج إلى خوادم مركزية لجمع المعلومات الاستخبارية.
تُظهر الشبكة قدرة على التهرب من أنظمة الدفاع التقليدية مثل geofencing وقوائم الحظر الثابتة، وذلك عبر توزيع نشاط المسح على نطاق واسع من عناوين IP، مما يجعل من الصعب تصنيف أي عنوان منفرد كمصدر تهديد.
آلية الاستغلال والمهام
تستغل JDY ثغرات حديثة في أجهزة الحافة مثل CVE-2026-35616، حيث يتم إسقاط سكربت خبيث يتحقق من وجود البرمجية مسبقاً، ثم ينزل الحمولة الأساسية وفقاً لبنية المعالج (mips، mips64، mipsel). بعد التشغيل، يُحذف الملف من القرص لتقليل فرص الكشف.
البرمجية قادرة على تنفيذ مسح عالي الحجم باستخدام بروتوكولات TCP وSSL وUDP وICMP، والتقاط بيانات مثل شهادات TLS والميتا داتا، ثم إرسالها إلى خادم مركزي. كما تتكيف طريقة المسح وفقاً لصلاحيات الجهاز: إذا كانت لديها صلاحيات الجذر، تستخدم حزم TCP مصممة خصيصاً لزيادة سرعة المسح.
دلالات استراتيجية
تُظهر JDY كيف تُستخدم شبكات إنترنت الأشياء والمكاتب الصغيرة كأدوات استطلاع صناعية، تُغذي خطوط استهداف الثغرات والاستغلال لاحقاً. ويؤكد الباحثون أن تعطيل عقد فردية أو مجموعات لا يلغي القدرة الكامنة، إذ تستمر الشبكة في التكيف وتوفير بيانات دقيقة للمهاجمين بعد ساعات فقط من الكشف عن الثغرات.
هذا التطور يعكس قدرة الجهات المدعومة من الدولة الصينية على بناء شبكات استطلاع متينة، قادرة على الصمود أمام محاولات التفكيك، وتوظيفها في عمليات تجسس وهجمات مستقبلية.
