JDY Botnet: "Con Mắt" Thầm Lặng Đứng Sau Các Chiến Dịch Tấn Công Mạng Của Trung Quốc
Tóm tắt chiến dịch
Tháng 6/2026, Lumen Black Lotus Labs xác nhận rằng sau khi cụm KV-botnet bị FBI triệt phá vào đầu năm 2024, phần còn lại có tên JDY cluster không tan rã — nó âm thầm tái cơ cấu và hiện đã mở rộng lên hơn 1.500 thiết bị SOHO và IoT bị chiếm quyền, tăng gấp đôi so với đáy ~650 thiết bị sau đợt takedown. Botnet này được liên kết với các nhóm APT Trung Quốc, trong đó có Volt Typhoon, và hoạt động như một hệ thống trinh sát quy mô lớn: quét dịch vụ, fingerprint hạ tầng, và chuyển dữ liệu về để phục vụ các đợt khai thác tiếp theo.
Điểm đáng lo ngại nhất không nằm ở quy mô — mà nằm ở tốc độ phản ứng: chỉ vài giờ sau khi lỗ hổng CVE-2026-35616 trên thiết bị Fortinet được công bố vào ngày 05/04/2026, JDY đã bắt đầu quét hàng loạt để xác định thiết bị chưa vá. Trong số tất cả IP bị nhắm đến, nhóm lớn nhất thuộc mạng quân sự Mỹ và các thực thể liên quan — không phải ngẫu nhiên.
Đôi nét về Volt Typhoon
Giới thiệu
Volt Typhoon là một nhóm Advanced Persistent Threat (APT) bị các cơ quan tình báo và an ninh mạng phương Tây, bao gồm Microsoft, CISA, NSA và FBI, theo dõi từ nhiều năm nay. Nhóm này được cho là có liên hệ với nhà nước Trung Quốc và hoạt động với mục tiêu thu thập thông tin tình báo chiến lược cũng như xây dựng khả năng tiếp cận lâu dài vào các hệ thống hạ tầng trọng yếu.
Không giống nhiều nhóm APT tập trung vào đánh cắp dữ liệu hoặc gián điệp kinh tế, Volt Typhoon được đánh giá là hướng tới các mục tiêu phục vụ an ninh quốc gia và chiến lược quân sự. Các chiến dịch của nhóm thường nhắm vào những tổ chức có vai trò quan trọng trong vận hành xã hội và quốc phòng, cho thấy mục tiêu không chỉ là thu thập thông tin mà còn có thể chuẩn bị khả năng tác động hoặc làm gián đoạn hạ tầng trong các tình huống khủng hoảng.
Lịch sử hoạt động
Các dấu hiệu hoạt động của Volt Typhoon được truy vết từ khoảng năm 2021, tuy nhiên nhóm chỉ thực sự được công khai rộng rãi vào tháng 5/2023 khi Microsoft công bố báo cáo về một chiến dịch xâm nhập quy mô lớn nhằm vào hạ tầng trọng yếu của Hoa Kỳ.
Đầu năm 2024, FBI và Bộ Tư pháp Hoa Kỳ tiến hành chiến dịch triệt phá hạ tầng KV Botnet – mạng lưới proxy được Volt Typhoon sử dụng để che giấu nguồn gốc tấn công. Tuy nhiên, các nghiên cứu sau đó cho thấy nhiều thành phần hạ tầng khác như JDY Botnet vẫn tiếp tục hoạt động và thậm chí mở rộng đáng kể.
Mục tiêu chiến lược
Hạ tầng trọng yếu: Điện lực, Năng lượng, Nước sạch, Khí đốt, Viễn thông, Giao thông vận tải.
Quốc phòng: Bộ Quốc phòng, Nhà thầu quân sự, Cơ sở hậu cần quân sự, Hệ thống hỗ trợ triển khai lực lượng.
Chính phủ: Cơ quan hành chính, Tổ chức nghiên cứu chiến lược, Cơ quan quản lý hạ tầng quốc gia.
Công nghệ và Viễn thông: ISP, Nhà cung cấp dịch vụ Internet, Trung tâm dữ liệu, Hệ thống quản lý mạng.
Timeline Sự Kiện
| Thời điểm | Sự kiện |
|---|---|
| Tháng 12/2023 | Lumen Black Lotus Labs công bố KV-botnet — gồm "KV cluster" (chuyển dữ liệu bí mật) và "JDY cluster" (quét/trinh sát). Liên kết với Volt Typhoon nhắm hạ tầng quan trọng Mỹ |
| Tháng 1/2024 | FBI/DOJ thực hiện court-authorized takedown, phá vỡ KV cluster. JDY cluster còn khoảng ~650 bot ở mức thấp nhất |
| Tháng 1–12/2024 | JDY âm thầm tái xây dựng. Mở rộng danh sách thiết bị mục tiêu vượt ra ngoài Cisco RV320/325 sang nhiều hãng khác |
| Q1–Q2/2026 | JDY đạt 1.500+ thiết bị. Đa dạng hóa sang Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision, Linksys |
| 05/04/2026 | CVE-2026-35616 (Fortinet) được công bố công khai. JDY bắt đầu quét thiết bị Fortinet trong cùng ngày |
| 10/06/2026 | Lumen Black Lotus Labs xuất bản báo cáo đầy đủ, tiết lộ cơ sở hạ tầng, malware behavior, và targeting pattern |
| 11/06/2026 | Security Affairs, The Hacker News đưa tin rộng rãi |
Chuỗi tấn công
JDY không phải botnet tấn công trực tiếp — nó là lớp trinh sát chuyên biệt phục vụ downstream exploitation. Mỗi giai đoạn được thiết kế để tối đa hóa dữ liệu thu thập trong khi tối thiểu hóa dấu vết để lại.
Ba điểm kỹ thuật đặc biệt đáng lưu ý:
Self-deleting dropper: Sau khi download và launch payload, dropper tự xóa binary. Không có gì để tìm thấy sau khi malware đã chạy.
Detection rule theo yêu cầu: Khi nhận lệnh từ C2, JDY download các detection signature tùy chỉnh — không phải quét mù, mà là nhận biết và xác nhận dịch vụ cụ thể theo đặc điểm hành vi, port, và response pattern.
Geofencing bypass by design: Bằng cách phân tán hoạt động quét qua hàng nghìn IP thuộc mạng SOHO/IoT Mỹ hợp pháp, botnet tự nhiên vượt qua IP reputation blacklist, geofencing rules, và static blocklist — vì traffic trông giống hệt người dùng thực.
Kỹ thuật chi tiết
Kiến trúc tổng thể
Phân tích của Black Lotus Labs cho thấy JDY không hoạt động như một botnet DDoS truyền thống mà được thiết kế như một nền tảng trinh sát mạng phân tán (Distributed Reconnaissance Platform).
Kiến trúc của JDY bao gồm ba thành phần chính:
Bot Layer
Lớp bot bao gồm các thiết bị SOHO và IoT đã bị xâm nhập:Router
Firewall
VPN Gateway
Camera IP
Thiết bị NAS
Thiết bị mạng doanh nghiệp nhỏ
Sau khi bị chiếm quyền, các thiết bị này trở thành các scanner node phân tán trên Internet.
Command and Control Layer
Hệ thống C2 sử dụng nhiều lớp trung gian nhằm giảm nguy cơ bị triệt phá.Đặc điểm nổi bật:
Giao tiếp qua HTTPS
JSON-based protocol
Tor Hidden Services
Hạ tầng phân tán nhiều khu vực địa lý
Việc sử dụng Tor giúp ẩn vị trí thực của máy chủ điều khiển và gây khó khăn cho hoạt động sinkhole hoặc takedown.
Aggregation & Analytics Layer
Đây là thành phần quan trọng nhất của JDY.Toàn bộ dữ liệu thu thập được từ hàng nghìn bot sẽ được tập trung tại các máy chủ phân tích trung tâm để:
Hợp nhất dữ liệu quét
Loại bỏ dữ liệu trùng lặp
Xây dựng inventory Internet-facing assets
Xác định các hệ thống dễ bị khai thác
Kết quả cuối cùng được chuyển cho các chiến dịch khai thác hoặc các nhóm APT liên quan.
Quy trình hoạt động
Giai đoạn 1: Initial Registration
Sau khi lây nhiễm thành công, bot gửi thông tin nhận dạng tới C2.
Thông tin bao gồm:
| Trường dữ liệu | Mục đích |
|---|---|
| OS Type | Xác định hệ điều hành |
| Architecture | x86, x64, ARM, MIPS |
| Uptime | Đánh giá độ ổn định |
| Memory Size | Xác định khả năng thực thi |
| Malware Version | Quản lý phiên bản bot |
| Public IP | Xác định vị trí triển khai |
Việc thu thập các thông tin này giúp hệ thống lựa chọn nhiệm vụ phù hợp với từng bot.
Giai đoạn 2: Task Distribution
Sau khi đăng ký thành công, bot nhận nhiệm vụ từ C2.
Một scan task thường bao gồm:
{
"targets": [
"203.0.113.0/24",
"198.51.100.0/24"
],
"ports": [80,443,8443],
"protocols": ["HTTP","HTTPS"],
"fingerprinting": true,
"tls_collection": true
}
Nhiệm vụ có thể được cập nhật liên tục dựa trên:
CVE mới công bố
Chiến dịch APT đang triển khai
Danh sách mục tiêu ưu tiên
Kỹ thuật quét mạng
SYN Scan
Nếu bot có quyền sử dụng raw socket, JDY thực hiện SYN Scan tương tự Nmap.
Ưu điểm:
Không hoàn tất TCP handshake
Giảm khả năng tạo log trên thiết bị mục tiêu
Tăng tốc độ quét
Điều này giúp JDY duy trì mức độ tàng hình cao hơn so với các công cụ quét thông thường.
TCP Connect Scan
Khi không thể sử dụng raw socket:
Phương pháp này tạo nhiều dấu vết hơn nhưng đảm bảo khả năng tương thích với các thiết bị IoT hạn chế.
Banner Grabbing
Sau khi xác định cổng mở, JDY tiến hành fingerprinting.
Ví dụ:
HTTP/1.1 200 OK
Server: nginx/1.18.0
X-Powered-By: PHP/7.4
Các thông tin được thu thập:
Web Server
Version
Framework
Reverse Proxy
CDN Information
Application Stack
Những dữ liệu này được dùng để xác định khả năng tồn tại lỗ hổng đã biết.
TLS Fingerprinting
Một trong những khả năng nổi bật của JDY là thu thập dữ liệu TLS.
Thông tin thu thập bao gồm:
Thuộc tính | Ý nghĩa |
TLS Version | Xác định cấu hình bảo mật |
Cipher Suite | Phân loại thiết bị |
Certificate Subject | Nhận diện tổ chức |
SAN | Liệt kê hostname |
Issuer | Nhà cung cấp chứng chỉ |
Expiration Date | Trạng thái chứng chỉ |
Ví dụ:
TLS 1.2
CN=vpn.company.com
Issuer=DigiCert
Thông qua chứng chỉ số, JDY có thể xác định:
Tên miền nội bộ
Hệ thống VPN
Cổng truy cập từ xa
Thiết bị quản trị
HTTP Redirect Analysis
JDY không chỉ thu thập banner mà còn theo dõi chuỗi chuyển hướng.
Ví dụ:
http://target
↓
https://vpn.company.com
↓
Fortinet SSL VPN Portal
Thông tin này giúp:
Xác định thiết bị bảo mật
Phân loại sản phẩm
Nhận diện hệ thống VPN
Phân loại mục tiêu
Sau khi dữ liệu được gửi về máy chủ trung tâm, hệ thống tiến hành phân loại.
Bước 1: Asset Classification
Xác định:
Firewall
Router
VPN Gateway
Camera
NAS
ICS Device
Bước 2: Product Fingerprinting
Ví dụ:
FortiGate
Cisco IOS XE
DrayTek Vigor
Hikvision Camera
Bước 3: Vulnerability Matching
Hệ thống đối chiếu:
Product Version
↓
Known CVEs
↓
Risk Score
Các thiết bị có khả năng tồn tại lỗ hổng sẽ được đưa vào danh sách ưu tiên.
Đánh giá kỹ thuật
JDY là một nền tảng reconnaissance-as-a-service có mức độ tự động hóa cao, được thiết kế để rút ngắn khoảng thời gian từ khi lỗ hổng được công bố đến khi mục tiêu bị phát hiện. Khác với botnet DDoS truyền thống, giá trị của JDY nằm ở khả năng xây dựng cơ sở dữ liệu Internet-facing assets theo thời gian thực, hỗ trợ các chiến dịch khai thác và gián điệp mạng quy mô lớn. Với hơn 1.500 thiết bị bị kiểm soát và khả năng thu thập dữ liệu TLS, banner và fingerprinting chuyên sâu, JDY hiện được xem là một trong những nền tảng trinh sát mạng đáng chú ý nhất liên quan đến các hoạt động APT có nguồn gốc từ Trung Quốc.
Thiết bị nhắm đến
Vendors/Models xác nhận bị JDY lây nhiễm hoặc nhắm đến:
Cisco RV320, RV325
Ubiquiti UniFi series
Draytek Vigor series
Hikvision IP cameras / NVR
Linksys WRT/EA series
Araknis Networks AN series
Mimosa Networks wireless equipment
Lỗ Hổng Được Khai Thác/Nhắm Đến
CVE-2026-35616 # Fortinet — bị quét ngay ngày public disclosure (05/04/2026)
MITRE ATT&CK Mapping
| Phase | Technique ID | Technique Name | Mô tả trong JDY |
|---|---|---|---|
| Reconnaissance | T1595 | Active Scanning | SYN scan + TLS fingerprinting quy mô lớn |
| Reconnaissance | T1595.001 | Scanning IP Blocks | Quét IP blocks của mạng quân sự Mỹ |
| Reconnaissance | T1590 | Gather Victim Network Information | Thu thập banner, cert, TLS metadata |
| Reconnaissance | T1590.004 | Network Topology | Map service exposure cho downstream exploitation |
| Resource Development | T1584.005 | Compromise Infrastructure: Botnet | Lây nhiễm SOHO/IoT làm proxy |
| Command & Control | T1090.003 | Proxy: Multi-hop Proxy | Tor hidden services che giấu C2 |
| Command & Control | T1071.001 | Application Layer Protocol: Web Protocols | HTTPS check-in |
| Defense Evasion | T1070.004 | Indicator Removal: File Deletion | Dropper tự xóa sau execution |
| Defense Evasion | T1036 | Masquerading | Traffic blend với legitimate SOHO traffic |
| Defense Evasion | T1562.001 | Impair Defenses | Bypass geofencing/IP reputation qua US-based SOHO IPs |
IOC
IP C2
23.27.120[.]240
109.104.154[.]116
216.173.65[.]250
194.14.217[.]88
149.248.3[.]38
SHA 256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ận Định Chuyên Gia
Takedown Không Phải Là Kết Thúc — Resilience Theo Thiết Kế
Vụ FBI takedown KV-botnet đầu 2024 được coi là thành công. Nhưng JDY's story chứng minh rằng disruption của một cluster không triệt tiêu capability. Volt Typhoon (hoặc threat actor liên quan) đã thiết kế KV-botnet với kiến trúc phân tán: khi KV cluster bị hạ, JDY cluster vẫn sống và tiếp tục tích lũy.
Đây không phải lần đầu chúng ta thấy pattern này. Emotet, TrickBot, Qakbot — tất cả đều cho thấy botnet có khả năng tái sinh sau disruption khi infrastructure không bị hạ hoàn toàn. Điểm khác biệt với JDY là tính kiên nhẫn: nó không vội vã, không gây ồn ào, chỉ âm thầm thu thập trong 2 năm.
Reconnaissance-First: Thay Đổi Paradigm Trong APT Operations
Truyền thống, chúng ta nghĩ APT = xâm nhập → lateral movement → exfiltration. JDY đặt ra câu hỏi khác: nếu bạn có bản đồ chi tiết của toàn bộ exposed services của đối thủ — cập nhật liên tục, hàng ngày — thì bước "initial access" trở nên nhanh chóng đến mức nào?
CVE-2026-35616 case study trả lời câu hỏi đó: trong vài giờ sau disclosure, JDY đã biết chính xác tổ chức nào chưa vá. Khi exploit tool sẵn sàng, danh sách mục tiêu đã được chuẩn bị sẵn. Đây là assembly-line exploitation — industrialized, không phải opportunistic.
Nguy Cơ Với Việt Nam Và ASEAN
Mặc dù targeting hiện tại ưu tiên mạng quân sự Mỹ, đội ngũ phân tích nhận thấy một số tín hiệu đáng chú ý cho khu vực:
Geographic distribution của bots bao gồm Asia: điều này có nghĩa là SOHO/IoT tại Việt Nam và các nước ASEAN có thể đã nằm trong botnet, không phải là target chính nhưng là công cụ được dùng để tấn công người khác.
Thiết bị phổ biến tại VN: Hikvision IP camera, Linksys router — đều nằm trong danh sách bị JDY nhắm đến. Khả năng lây nhiễm tại VN là thực tế, không phải lý thuyết.
Precedent từ Volt Typhoon: Nhóm này có lịch sử nhắm vào hạ tầng quan trọng. Nếu pattern mở rộng sang ASEAN — đặc biệt trong bối cảnh địa chính trị hiện tại — các tổ chức hạ tầng quan trọng tại VN cần đặt trong threat model.
Vấn Đề Visibility
Phần lớn tổ chức tại Việt Nam — kể cả enterprise — có zero visibility vào lớp SOHO/IoT. Router của nhân viên làm việc từ xa, camera an ninh tại văn phòng, thiết bị IoT trong nhà máy: những thiết bị này thường không nằm trong scope của security monitoring. JDY cho thấy đây chính xác là nơi kẻ tấn công đang xây dựng foothold.
Khuyến nghị
Immediate (0–24 giờ)
Inventory thiết bị SOHO/IoT ngay
Scan internal network để phát hiện thiết bị SOHO/IoT đang chạy
Ưu tiên các vendor: Ubiquiti, Draytek, Hikvision, Linksys, Araknis, Mimosa, Cisco RV series
- nmap -sV -p 80,443,8080,8443,23,22,8888 <internal_subnet>
--script http-title,banner
-oX soho_iot_inventory.xml
- nmap -sV -p 80,443,8080,8443,23,22,8888 <internal_subnet>
Xác minh thiết bị nào đang expose ra internet
Kiểm tra external exposure
- nmap -sV <public_ip_range> -p 80,443,8080,8443,22,23,8888
Hoặc dùng Shodan/Censys với org filter
Patch ngay CVE-2026-35616 trên Fortinet
Short-term (1–7 ngày)
Implement network segmentation cho IoT
VLAN riêng cho SOHO/IoT devices
Firewall rules: IoT VLAN chỉ được phép ra internet, không được access corporate network
Block outbound Tor từ corporate và IoT networks
Block TCP port 9050, 9150, 443 đến known Tor exit nodes
Bật logging và monitoring cho thiết bị biên
Detection rule cho SIEM (Splunk/Elastic format):
index=network sourcetype=firewall (dest_port=9050 OR dest_port=9150)
| stats count by src_ip, dest_ip, dest_port
| where count > 10
| comment "Outbound Tor từ internal device — nghi vấn C2"
Phát hiện SYN scan behavior bất thường từ internal device:
index=network sourcetype=firewall action=allow
| stats dc(dest_ip) as unique_dests by src_ip, _time span=1h
| where unique_dests > 500
| comment "High-rate scanning từ internal host — nghi vấn botnet"
Password reset và firmware update toàn bộ SOHO/IoT
Đổi default credentials
Disable remote management nếu không cần thiết
Update firmware lên phiên bản mới nhất
Disable UPnP
Long-term
Triển khai asset discovery liên tục:
Integrate IoT/OT devices vào asset inventory platform (Axonius, Armis, hoặc tương đương)
Scheduled scanning định kỳ để phát hiện thiết bị mới không authorized
Threat Intelligence Feed về China-nexus TTPs:
Subscribe Lumen Black Lotus Labs feed
Theo dõi CISA Advisories về Volt Typhoon, Salt Typhoon
Integrate IOC feed vào SIEM/firewall tự động
Đánh giá lại Remote Work Security Policy:
SOHO device của nhân viên làm việc từ xa là rủi ro mở rộng bề mặt tấn công vào corporate network
Xem xét Zero Trust Access thay vì VPN truyền thống để giảm nguy cơ compromise từ thiết bị ngoài tầm kiểm soát
Tham khảo
China-Linked JDY Botnet Expands to 1,500+ Devices for Cyber Reconnaissance
Expanded JDY IoT and SOHO botnet enables rapid vulnerability exploitation
JDY Botnet Evolves After KV Takedown, Targets Military Networks
China-linked JDY botnet expands targeting of U.S. military networks
