文章总结： JDY僵尸网络控制超过1500台SOHO和IoT设备，主要针对美国境内的思科、Ubiquiti等品牌设备。该网络能快速响应新漏洞（如CVE-2026-35616），通过Tor节点隐藏C2服务器进行多协议扫描，并利用Platypus工具管理载荷。其分布式扫描策略可绕过传统防御，建议及时修补漏洞并加强设备安全监控。 综合评分： 85 文章分类： 恶意软件,IoT安全,漏洞预警,威胁情报,网络安全

JDY僵尸网络利用1500多台SOHO和IoT设备进行快速漏洞利用

爱拍照的老李 爱拍照的老李

爱拍照的老李

2026年6月12日 09:00 湖北

在小说阅读器读本章

去阅读

导读

一个由受感染路由器和智能设备组建的僵尸网络已发展成为与威胁组织相关的最强大侦察工具之一。研究人员发现名为JDY的僵尸网络控制着超过1500台小型办公和家庭办公（SOHO）以及物联网（IoT）设备。

JDY僵尸网络的起源可追溯到2023年底，当时它作为一个名为KV-botnet的更大行动的一部分被发现。

在2024年1月的最低点，JDY大约有650个活跃机器人。此后，它规模翻了一番多，在美国政府拆除其配套网络KV集群后，悄然重建。

LumenBlack Lotus 实验室的分析师追踪了该僵尸网络的发展，发现它不仅增长，而且变得更加危险。

根据Lumen的一份报告，JDY僵尸网络现在针对的设备范围大幅扩大，来自包括思科、Ubiquiti、海康威视、Draytek、Linksys、Araknis和Mimosa Networks等厂商。

令人担忧的是JDY僵尸网络对新情报的迅速行动。一旦漏洞被公开披露，操作员几乎会立即转移扫描策略。

研究人员观察到，在CVE-2026-35616披露后数小时内，针对Fortinet设备的扫描激增，表明该僵尸网络帮助攻击者在防守者实施补丁前发现易受攻击的系统，该僵尸网络的主要受害者绝大多数是美国境内。

被感染的设备是普通家用和小型企业路由器，其流量与正常互联网活动融为一体，使传统安全工具更难被检测。

JDY僵尸网络通过一个严密组织的系统运作，使操作员隐藏起来，而机器人则保持活跃。感染设备接收来自通过隐藏Tor节点通信的指挥控制服务器的扫描任务，几乎无法追踪到操作员。

机器人会在TCP、UDP、SSL和ICMP通道上进行多协议扫描，然后将压缩、加密的结果返回中央服务器。

该恶意软件运行在基于Linux的MIPS和MIPSYL处理器架构系统上，这类处理器在家用路由器和边缘网络设备中最为常见。

轻量级的 bash dropper 负责感染：它检测设备的处理器类型，下载匹配的负载，执行该负载，并从磁盘中删除文件。

部分设备也通过Platypus管理，这是一种开源的远程shell工具，有效载荷服务器位于149.248.3[.]38 在端口 13339 上托管 Platypus 实例。

通过将扫描扩散到数千个不同IP地址的设备，僵尸网络轻松绕过了传统防御手段，如屏蔽名单和地理围栏。

每个设备只承担很小的扫描负载，因此没有单个IP触发足够多的警报而被阻挡。网络概述展示了JDY如何在住宅和小型企业IP空间中分配扫描。

研究人员强调，仅仅破坏僵尸网络的部分内容是不够的。当KV集群被拆除后，JDY继续运营并扩展。该能力会适应、重建，并持续向威胁组织提供情报，通常在新漏洞公开后的数小时内完成。

技术报告：

《扩张后的 JDY 物联网及小型办公 / 家庭办公僵尸网络可快速利用漏洞发起攻击》

https://www.lumen.com/blog/en-us/expanded-jdy-iot-and-soho-botnet-enables-rapid-vulnerability-exploitation

新闻链接：

China-Linked JDY Botnet Uses 1,500+ SOHO and IoT Devices for Rapid Vulnerability Exploitation

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 爱拍照的老李 爱拍照的老李《JDY僵尸网络利用1500多台SOHO和IoT设备进行快速漏洞利用》