Anatomía de un botnet de reconocimiento: qué hace JDY y cómo lo hace
El botnet JDY ha duplicado su tamaño en poco más de dos años, pasando de unos 650 dispositivos activos en enero de 2024 a más de 1.500 en la actualidad, según los investigadores de Black Lotus Labs, la división de inteligencia de amenazas de Lumen Technologies. Aunque mil quinientos bots pueden parecer una cifra modesta, no estamos ante un ejército de denegación de servicio, sino ante una red de sensores de precisión, una red distribuida de escaneo y toma de huellas digitales que permite a sus operadores localizar con rapidez quirúrgica los blancos vulnerables a fallos recién divulgados.
Le pongo en contexto: en el oficio de la ciberguerra, un botnet de reconocimiento como JDY vale su peso en zero-days. No necesita saturar de tráfico a un objetivo; necesita saber, antes que nadie, qué versión de software corre, qué puerto tiene abierto y qué parche le falta. Luego, otro actor —en este caso, un grupo APT— explota esa ventana de oportunidad. ‘El análisis de esta actividad muestra un enfoque claro en identificar infraestructura vulnerable poco después de la divulgación pública de vulnerabilidades’, señala el informe de Black Lotus Labs, ‘lo que sugiere que el resultado del reconocimiento se operacionaliza rápidamente por actores APT vinculados a China’.
El malware que gobierna JDY se registra en un ‘Servicio de Despacho’ central y recibe tareas de escaneo. Ejecuta, comprime los resultados y los devuelve al mando y control (C2) a través de servicios ocultos de Tor. En algunos casos, los operadores utilizan también Platypus, un marco de trabajo de código abierto para shells inversas y gestión de hosts. El módulo de escaneo TCP es técnicamente el más interesante: si el malware obtiene privilegios de root, inicia un escaneo SYN de alta velocidad usando paquetes TCP artesanales con un puerto de origen fijo 19000, incrementando los puertos de destino uno a uno y procesando miles de blancos por lote.
Las capacidades del botnet incluyen escaneo TCP y UDP, sondeo ICMP, recolección de banners, cosecha de certificados TLS y toma de huellas de servicios mediante conjuntos de reglas descargables. Entre los dispositivos comprometidos, Black Lotus Labs ha identificado equipos de Cisco, Araknis, Mimosa Networks, Ubiquiti, DrayTek, Hikvision y Linksys, abarcando arquitecturas MIPS, MIPS64, MIPSEL y MIPSEL64. La diversidad de firmwares infectados nos habla de un esfuerzo deliberado por tejer una red de sensores heterogénea y difícil de erradicar de un solo golpe.
Quinientos dispositivos no tumban una red eléctrica, pero bastan para mapear cada centímetro de su perímetro digital antes de que el defensor sepa que está siendo observado.
Volt Typhoon y la tradición china de preparar el terreno
La atribución de JDY a Volt Typhoon no es nueva ni sorprendente. Volt Typhoon es la designación que la comunidad de inteligencia estadounidense asigna a un actor APT vinculado al Ministerio de Seguridad del Estado chino, especializado en infiltrarse en infraestructuras críticas con una paciencia y una disciplina operativa que ya quisieran para sí muchos servicios occidentales. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) lleva años advirtiendo del riesgo que Volt Typhoon representa para los routers SOHO desprotegidos, y urgiendo a los fabricantes a eliminar vulnerabilidades en las interfaces de gestión web desde la fase de diseño.
La rapidez con la que los operadores de JDY apuntan a vulnerabilidades recién publicadas da una idea de la integración entre reconocimiento y explotación. Los investigadores de Lumen observaron escaneos de JDY dirigidos a CVE-2026-35616 poco después de que Fortinet divulgara públicamente el fallo en FortiClient EMS. Es el ciclo que hemos visto una y otra vez con los grupos chinos: no pierden un minuto en incorporar el nuevo vector a su arsenal de reconocimiento, porque saben que las ventanas de parcheo en entornos militares y gubernamentales pueden ser sorprendentemente amplias.
Escribí hace años en El quinto elemento que ‘el próximo 11S empezará con un clic’. Hoy, con lo que sabemos de JDY y Volt Typhoon, la frase sigue vigente. La diferencia es que aquel clic quizá no busque destruir, sino simplemente escuchar, cartografiar y esperar. Esa es la doctrina que subyace bajo operaciones como esta: reconocimiento persistente y selectivo, orientado a identificar el eslabón más débil en la cadena de suministro digital de la defensa estadounidense.
Dossier Moncloa: Ojos en la Sombra
Si usted ha seguido la evolución del ciberespionaje chino, sabrá que operaciones como JDY son la fase previa de algo más grande. Lo que Black Lotus Labs describe no es un ataque, sino la preparación meticulosa del terreno para un ataque que probablemente ya está en marcha, ejecutado por el mismo Volt Typhoon o por otros actores del ecosistema APT chino que consumen la inteligencia recolectada por el botnet. La lectura que hago desde esta sección es que estamos ante un caso de manual de lo que en el oficio se conoce como SIGINT operacionalizada: inteligencia de señales recolectada de forma masiva, procesada de forma automatizada y puesta a disposición de equipos de explotación en tiempo casi real.
El vector de amenaza es, en esencia, un botnet de reconocimiento distribuido sobre dispositivos IoT y SOHO vulnerables, gobernado mediante infraestructura C2 oculta en Tor. No hay exfiltración de datos en esta fase; lo que hay es una cartografía digital del perímetro militar estadounidense con un nivel de detalle que permitiría a un atacante saber exactamente qué versión de FortiOS corre tal pasarela del Ejército del Aire o qué firmware de Ubiquiti protege la red de invitados de un centro de mando. La agencia atacante, con atribución técnica sólida, es Volt Typhoon, vinculado al aparato de inteligencia chino. La defensora, en primera línea, es el Departamento de Defensa de Estados Unidos y las entidades asociadas que aparecen como blancos prioritarios del botnet.
¿Quién observa desde fuera? Aquí es donde entra la capa confidencial que a usted y a mí nos interesa. El CNI y el CCN-CERT monitorizan este tipo de actividad con creciente preocupación, no porque España sea objetivo directo de JDY —no lo es, al menos según los datos públicos de Black Lotus Labs—, sino porque la frontera entre reconocimiento y ataque es cada vez más difusa, y porque las infraestructuras críticas españolas dependen de los mismos fabricantes cuyos dispositivos están siendo masivamente comprometidos por la botnet. Le recuerdo un dato que ofrecí en El quinto elemento: en España hay más de 8.000 infraestructuras críticas potencialmente atacables a través de internet. Si JDY está recolectando banners y huellas TLS de equipos Cisco y Fortinet en redes militares estadounidenses, nada impide que una infraestructura similar se despliegue mañana sobre objetivos europeos.
El nivel de clasificación del material que probablemente se está recolectando es difícil de precisar sin acceso a los informes internos del Pentágono, pero a juzgar por la naturaleza de la información —configuraciones de red, versiones de software, certificados TLS—, estimo que nos movemos en el rango de ‘Sin Clasificar pero Sensible’ o ‘Uso Restringido’. Sin embargo, la combinación de estos datos con inteligencia HUMINT o con información obtenida mediante otros vectores podría elevar rápidamente el valor clasificado del conjunto. Es la vieja lección del oficio: los datos sueltos no dicen mucho, pero ensamblados forman un plano.
El precedente histórico que me viene a la mente es Stuxnet, aunque la comparación es asimétrica. En 2010, la Operación Olympic Games demostró que el reconocimiento industrial previo —mapear las centrifugadoras de Natanz, conocer sus frecuencias exactas de trabajo— era condición indispensable para el sabotaje. JDY hace lo mismo, pero a escala de red global y con una agilidad que Stuxnet no tenía. Permítame una reflexión personal: llevo más de una década escribiendo sobre ciberguerra, y si algo he aprendido es que los grandes desastres no empiezan con explosiones, sino con administradores de sistemas que no actualizaron un router a tiempo. El informe de Black Lotus Labs es una llamada de atención más en ese sentido, y me temo que no será la última.
El desenlace de esta partida no se escribirá en los próximos meses, sino en cómo respondan los fabricantes de dispositivos SOHO y los equipos de seguridad del Departamento de Defensa. CISA ya ha puesto deberes: eliminar las vulnerabilidades en las interfaces de gestión web desde la fase de diseño. Mientras tanto, las organizaciones deberían reducir su superficie de ataque externa, deshabilitar interfaces administrativas innecesarias, restringir la gestión remota y monitorizar el tráfico de escaneo saliente desde dispositivos perimetrales. La pregunta incómoda, la que planteo desde este Dossier, es si algo de eso se está haciendo con la urgencia que el caso requiere. No tengo una respuesta tranquilizadora.
