Jaringan Botnet JDY Asal Tiongkok Perluas Jangkauan Serangan ke Jaringan Militer AS

Jaringan malware botnet bernama JDY, yang sebelumnya dikaitkan dengan kelompok peretas kawakan asal Tiongkok seperti Volt Typhoon, dilaporkan telah memperluas cakupan wilayah operasional dan intensitas pengintaian siber mereka secara masif. Berdasarkan pemantauan terbaru, infrastruktur militer Amerika Serikat kini menjadi target pemindaian utama dari jaringan berbahaya ini.

Firma keamanan Black Lotus Labs dari Lumen mengungkapkan bahwa botnet JDY mengalami pertumbuhan jumlah perangkat terinfeksi yang cukup signifikan. Dari yang semula hanya mendeteksi sekitar 650 bot aktif pada awal tahun 2024, kini jaringan tersebut telah membengkak hingga mengendalikan lebih dari 1.500 perangkat Small Office/Home Office (SOHO) serta gawai IoT (Internet of Things) yang tersebar di berbagai negara.

Meskipun secara angka terlihat kecil dibandingkan jaringan botnet komersial lainnya, peran utama JDY bukanlah untuk melancarkan serangan siber massal seperti Distributed Denial of Service (DDoS). Jaringan ini dirancang khusus sebagai sistem pemindaian (scanning) dan identifikasi sidik jari digital (fingerprinting) terdistribusi yang bertugas mendeteksi target-target potensial yang belum menambal celah keamanan terbaru.

Pemindaian Agresif Pasca Pengumuman Celah Keamanan

Analisis terhadap lalu lintas jaringan menunjukkan adanya pola yang sangat terstruktur. Operator botnet JDY langsung menggerakkan ribuan perangkat korban untuk memindai infrastruktur kritis sesaat setelah sebuah celah keamanan baru diumumkan ke publik. Data hasil pengintaian cepat tersebut kemudian diserahkan kepada kelompok Advanced Persistent Threat (APT) yang berafiliasi dengan Tiongkok untuk dieksekusi menjadi serangan pembobolan berskala besar.

Sektor militer Amerika Serikat serta lembaga-lembaga pertahanan negara mitra terpantau menjadi entitas yang paling sering menerima paket pemindaian dari botnet ini. Perangkat-perangkat yang telah terinfeksi dan dijadikan alat pemindai oleh JDY umumnya merupakan router serta kamera keamanan dari merek-merek populer seperti Cisco, Araknis, Mimosa Networks, Ubiquiti, DrayTek, Hikvision, dan Linksys yang berjalan dengan arsitektur prosesor MIPS, MIPS64, MIPSEL, dan MIPSEL64.

Sebagai contoh agresivitas mereka, para peneliti mendeteksi lonjakan aktivitas pemindaian berskala besar yang menargetkan kerentanan Fortinet (CVE-2026-35616) pada komponen FortiClient EMS hanya dalam hitungan jam setelah vendor merilis buletin keamanan resmi mereka.

Mekanisme Kerja Komando Melalui Jaringan Tor

Untuk menyembunyikan identitas dan lokasi asli para operatornya, botnet JDY dikendalikan menggunakan infrastruktur server komando (Command and Control / C2) yang disamarkan di balik jaringan anonimitas Tor (Tor hidden services). Dalam beberapa skenario serangan, peretas juga memanfaatkan framework manajemen hos open-source bernama Platypus.

Siklus operasional malware ini berjalan dengan alur sebagai berikut:

1. Perangkat yang terinfeksi akan mendaftarkan diri ke layanan pusat bernama Dispatch Service.
2. Server C2 mengirimkan daftar tugas pemindaian (scanning assignments) yang harus dieksekusi oleh bot.
3. Bot melakukan pemindaian target, mengompresi file hasil laporan, lalu mengirimkannya kembali ke server C2 secara berkala hingga ada perintah berhenti.

Modul pemindaian pada JDY mendukung berbagai metode tingkat lanjut, mulai dari pemindaian protokol TCP, UDP, SSL/TLS, pembacaan sertifikat TLS, pengambilan banner layanan (banner grabbing), hingga pelacakan ICMP.

Secara teknis, fungsi pemindaian TCP pada JDY tergolong sangat canggih dan berbahaya. Jika malware berhasil mendapatkan hak akses administrator (root privileges) pada perangkat SOHO yang diinfeksinya, ia akan beralih menggunakan metode raw SYN scanning berkecepatan tinggi yang sangat senyap (stealthy). Metode ini memanfaatkan soket mentah (raw socket) dengan mematok source port tetap di nomor 19000, lalu menaikkan nomor port tujuan satu demi satu untuk memproses ribuan target jaringan dalam waktu singkat tanpa memicu kecurigaan sistem keamanan standar.

Langkah Penguatan Pertahanan Jaringan Edge

Seiring dengan meningkatnya aktivitas botnet JDY di ruang siber, para pengelola jaringan dan administrator TI diimbau untuk mengambil langkah preventif guna mencegah router atau perangkat IoT perusahaan mereka direkrut ke dalam jaringan pengintai ini.

Beberapa tindakan mitigasi yang sangat direkomendasikan meliputi:

• Memastikan seluruh perangkat keras seperti router, firewall, dan kamera IP selalu menjalankan versi firmware dan tambalan keamanan paling mutakhir.
• Meminimalkan area permukaan serangan eksternal (external attack surface) dengan menonaktifkan semua antarmuka manajemen administrasi web (WMI) yang menghadap langsung ke jaringan internet publik.
• Membatasi akses manajemen jarak jauh (remote management access) hanya melalui jalur VPN internal yang aman.
• Mengganti seluruh kredensial dan kata sandi bawaan pabrik (default credentials) pada perangkat keras baru sebelum dipasang ke jaringan produksi.
• Melakukan pemantauan aktif terhadap adanya aktivitas pemindaian keluar (outbound scanning) yang tidak biasa yang berasal dari perangkat perimeter (edge devices).

Sumber: Black Lotus Labs by Lumen Research Report