Botnet China JDY Kuasai 1.500 Perangkat, Intai Internet Global

Para peneliti keamanan siber kembali mengungkap perkembangan mengkhawatirkan terkait aktivitas kelompok peretas yang diduga memiliki hubungan dengan China. Sebuah botnet bernama JDY, yang sebelumnya hanya dikenal sebagai bagian dari jaringan peretasan yang lebih besar, kini berkembang menjadi infrastruktur pengintaian siber independen dengan kemampuan yang jauh lebih canggih.

Laporan terbaru dari Black Lotus Labs, unit riset keamanan milik Lumen Technologies, mengungkap bahwa JDY saat ini telah mengendalikan lebih dari 1.500 perangkat yang terhubung ke internet. Jaringan tersebut terdiri dari perangkat SOHO (Small Office/Home Office) seperti router kantor kecil dan rumah tangga, firewall, hingga berbagai perangkat Internet of Things (IoT).

Para peneliti menyebut JDY bukan sekadar botnet biasa yang digunakan untuk menyebarkan malware atau melancarkan serangan DDoS. Sebaliknya, jaringan ini berfungsi sebagai mesin pengintaian siber berskala besar yang dirancang untuk menemukan, mengidentifikasi, dan memetakan sistem yang rentan di internet.

Berawal dari KV-Botnet

JDY pertama kali teridentifikasi pada Desember 2023 sebagai salah satu klaster yang berada di dalam jaringan yang lebih besar bernama KV-botnet. Pada masa itu, botnet tersebut digunakan untuk melakukan pemindaian terhadap berbagai target internet secara luas dan diam-diam.

Jaringan ini diketahui terdiri dari perangkat yang telah diretas, termasuk router, firewall, dan perangkat IoT yang sebagian besar berada di lingkungan rumah maupun kantor kecil. Infrastruktur tersebut diduga pernah dimanfaatkan oleh kelompok ancaman siber asal China, termasuk kelompok yang dikenal luas sebagai Volt Typhoon.

Namun situasi berubah setelah pemerintah Amerika Serikat berhasil membongkar sebagian besar operasi KV-botnet pada awal 2024. Alih-alih menghilang, operator di balik jaringan tersebut justru melakukan adaptasi.

Menurut para peneliti, sebagian besar klaster KV-botnet memang berhenti beroperasi setelah penindakan tersebut. Akan tetapi, JDY justru berkembang menjadi jaringan yang berdiri sendiri dengan kemampuan yang lebih matang dan terorganisasi.

Black Lotus Labs menduga infrastruktur ini kemungkinan digunakan oleh beberapa kelompok peretas berbeda secara bersamaan. Selain menyediakan layanan pengintaian bagi pihak lain, operator JDY diyakini juga menjalankan aktivitas intelijen siber secara mandiri.

Tumbuh Lebih dari Dua Kali Lipat

Dalam kurun waktu sekitar dua tahun, ukuran botnet JDY mengalami peningkatan yang sangat signifikan.

Pada Januari 2024, para peneliti memperkirakan jaringan ini terdiri dari sekitar 650 perangkat yang terinfeksi. Kini jumlah tersebut telah meningkat menjadi lebih dari 1.500 perangkat yang berhasil diretas dan dikendalikan dari jarak jauh.

Mayoritas perangkat yang menjadi korban berada di Amerika Serikat dan Brasil. Sementara itu, sejumlah besar perangkat lain tersebar di berbagai negara Eropa dan Asia.

Peneliti Black Lotus Labs mencatat bahwa peningkatan jumlah korban di Brasil menjadi salah satu tren menarik dalam lanskap ancaman siber saat ini. Mereka melihat semakin banyak botnet modern yang memanfaatkan perangkat korban dari negara tersebut sebagai bagian dari infrastrukturnya.

Pertumbuhan ini menunjukkan bahwa operator JDY terus aktif mencari perangkat baru yang rentan untuk diretas dan dimasukkan ke dalam jaringan mereka.

Menargetkan Lebih Banyak Jenis Perangkat

Pada tahap awal kemunculannya, JDY diketahui sebagian besar menginfeksi router Cisco RV320 dan Cisco RV325. Namun perkembangan terbaru menunjukkan bahwa cakupan target botnet ini kini jauh lebih luas.

Para peneliti menemukan berbagai perangkat dari sejumlah vendor yang telah menjadi bagian dari jaringan JDY, antara lain Araknis, Mimosa Networks, Ubiquiti, DrayTek, Hikvision, dan Linksys.

Kesamaan dari sebagian besar perangkat tersebut adalah statusnya yang sudah tidak lagi mendapatkan dukungan keamanan resmi dari produsen atau telah memasuki masa End-of-Life (EoL).

Perangkat yang telah mencapai status EoL umumnya tidak lagi menerima pembaruan keamanan sehingga lebih rentan terhadap eksploitasi oleh pelaku kejahatan siber.

Meski metode infeksi yang digunakan JDY belum diketahui secara pasti, para peneliti menduga operator memanfaatkan berbagai kerentanan yang telah dipublikasikan sebelumnya. Beberapa di antaranya mencakup kerentanan pada router Cisco RV042, perangkat DrayTek Vigor3900 Series, router Araknis AN-300-RT-4L2W, kamera IP Hikvision, hingga perangkat Linksys LRT224.

Dalam kasus Linksys, tidak ditemukan kerentanan publik yang diketahui secara luas. Namun, eksploitasi untuk perangkat tersebut dilaporkan pernah diperjualbelikan di forum-forum bawah tanah dan pasar gelap digital.

Sulit Dideteksi oleh Sistem Keamanan

Salah satu alasan JDY dianggap berbahaya adalah kemampuannya menyamarkan aktivitas agar tampak seperti lalu lintas internet normal.

Biasanya, sistem keamanan dapat memblokir alamat IP yang teridentifikasi melakukan pemindaian atau aktivitas mencurigakan. Namun dalam kasus JDY, aktivitas tersebut tersebar melalui ribuan perangkat berbeda yang berada di berbagai negara.

Dengan strategi ini, tidak ada satu alamat IP yang menghasilkan lalu lintas mencurigakan dalam jumlah sangat besar. Akibatnya, sistem pertahanan berbasis reputasi IP menjadi jauh lebih sulit mendeteksi aktivitas berbahaya tersebut.

Selain itu, penggunaan perangkat rumah dan kantor kecil yang sah membuat lalu lintas jaringan botnet menyatu dengan aktivitas pengguna internet biasa.

Strategi tersebut memungkinkan operator melakukan pengintaian dalam skala besar tanpa menarik perhatian berlebihan dari sistem keamanan jaringan.

Memanfaatkan Jaringan Tor untuk Menyembunyikan Jejak

Black Lotus Labs juga mengungkap bahwa JDY menggunakan arsitektur berlapis yang dirancang untuk menyulitkan pelacakan.

Operator botnet memanfaatkan jaringan anonim Tor guna mengelola berbagai komponen infrastrukturnya, termasuk server Command and Control (C2) yang digunakan untuk memberikan instruksi kepada perangkat yang telah terinfeksi.

Melalui server C2, operator dapat menentukan target pemindaian, jenis informasi yang harus dikumpulkan, serta prioritas operasi yang harus dilakukan oleh bot.

Berbeda dengan botnet tradisional yang melakukan pemindaian secara acak, JDY dirancang untuk melakukan pengintaian yang lebih spesifik dan terarah.

Informasi yang diperoleh kemudian dikirim kembali ke server pusat untuk dianalisis lebih lanjut. Data tersebut diduga digunakan untuk mengidentifikasi target bernilai tinggi yang berpotensi dieksploitasi pada tahap berikutnya.

Memanfaatkan Kerentanan yang Baru Dipublikasikan

Temuan lainnya menunjukkan bahwa JDY sangat cepat dalam memanfaatkan kerentanan baru yang diumumkan kepada publik.

Dalam beberapa kasus, operator menggunakan celah keamanan yang baru diungkap untuk mengirimkan skrip berbahaya ke perangkat target. Skrip tersebut akan memeriksa apakah malware sudah aktif di dalam sistem.

Jika belum ditemukan, malware akan mengunduh payload utama yang disesuaikan dengan jenis prosesor perangkat korban, termasuk arsitektur MIPS, MIPS64, MIPSEL, maupun MIPSEL64 yang umum digunakan pada router dan perangkat IoT.

Setelah malware berhasil dijalankan, file instalasi biasanya langsung dihapus dari perangkat. Teknik ini membuat jejak serangan menjadi lebih sulit ditemukan oleh administrator maupun perangkat lunak keamanan.

Fokus pada Pengumpulan Informasi

Menariknya, tujuan utama JDY bukanlah langsung merusak sistem atau mencuri data korban.

Botnet ini lebih difokuskan untuk melakukan pengumpulan informasi secara masif. Malware yang digunakan mampu mengidentifikasi karakteristik perangkat yang terhubung ke internet, menerima instruksi pemindaian dari server pusat, mengumpulkan metadata layanan, sertifikat TLS, serta berbagai informasi teknis lainnya.

Selain itu, malware dapat melakukan pemindaian menggunakan berbagai protokol jaringan seperti TCP, SSL, UDP, dan ICMP.

Informasi yang dikumpulkan kemudian dikirim kembali ke server pusat untuk diolah menjadi basis data intelijen yang sangat berharga bagi pelaku ancaman.

Data tersebut dapat digunakan untuk menemukan target yang rentan, menentukan prioritas serangan, hingga mendukung operasi eksploitasi lanjutan.

Mampu Beradaptasi dengan Hak Akses Sistem

Salah satu fitur yang membuat JDY semakin canggih adalah kemampuannya menyesuaikan teknik pemindaian berdasarkan tingkat akses yang dimiliki pada perangkat korban.

Apabila malware berhasil memperoleh hak akses root atau administrator, ia dapat melakukan pemindaian SYN berkecepatan tinggi menggunakan paket TCP yang dirancang khusus.

Metode ini memungkinkan pemetaan target dilakukan secara lebih cepat dan efisien.

Namun apabila hak akses tinggi tidak tersedia, malware tetap dapat menjalankan operasi pengintaian menggunakan koneksi TCP dan TLS standar atau memanfaatkan protokol UDP dan ICMP.

Kemampuan beradaptasi ini membuat JDY tetap efektif dalam berbagai kondisi lingkungan jaringan.

Ancaman yang Terus Berkembang

Para peneliti menilai JDY merupakan contoh nyata bagaimana botnet modern telah berevolusi dari sekadar alat serangan menjadi platform intelijen siber yang kompleks.

Jaringan ini digunakan untuk menemukan aset yang terhubung ke internet, mengidentifikasi sistem yang rentan, menentukan target potensial, hingga mendukung operasi eksploitasi lanjutan.

Lebih jauh lagi, keberhasilan JDY bertahan dan terus berkembang setelah pembongkaran KV-botnet menunjukkan bahwa penghentian satu infrastruktur tidak selalu mengakhiri kemampuan operasional para pelaku ancaman.

Sebaliknya, mereka mampu membangun kembali jaringan, beradaptasi dengan kondisi baru, dan terus mengembangkan metode pengintaian yang lebih efektif.

Black Lotus Labs menegaskan bahwa JDY menjadi bukti bagaimana jaringan perangkat IoT dan SOHO yang diretas kini memainkan peran penting dalam operasi siber modern. Bahkan, jaringan seperti ini mampu menyediakan data target yang sangat cepat bagi para pelaku ancaman, sering kali hanya dalam hitungan jam setelah kerentanan baru diumumkan kepada publik.

Kondisi tersebut menjadi pengingat bagi organisasi maupun pengguna individu untuk memastikan perangkat jaringan yang digunakan selalu diperbarui, mengganti perangkat yang sudah tidak didukung produsen, serta menerapkan praktik keamanan siber yang lebih ketat guna mengurangi risiko menjadi bagian dari botnet global yang terus berkembang.