Nos últimos meses, o grupo hacker chinês Volt Typhoon retomou suas atividades de espionagem cibernética e começou a reconstruir sua botnet, agora chamada de JDYFJ Botnet. Em janeiro, as autoridades americanas haviam desmantelado a versão anterior, chamada de KV-Botnet, ao eliminar o malware de dispositivos comprometidos. No entanto, novos ataques foram detectados em agosto, aproveitando vulnerabilidades em câmeras e modelos desatualizados de roteadores.
Leia também
Malware russo sequestra ADFS para fazer login no Windows
Strava revela localização do Presidente da República
Segundo a SecurityScorecard, o Volt Typhoon infectou rapidamente uma quantidade significativa de dispositivos ao explorar a falta de atualizações de segurança. Em 37 dias, quase 30% dos roteadores Cisco RV320/325 expostos na internet foram comprometidos. Com um malware baseado em MIPS e técnicas de web shells em portas não convencionais, os hackers dificultam a detecção de suas atividades. A infraestrutura de comando e controle (C2) do grupo utiliza plataformas como Digital Ocean e Quadranet para se manter resiliente.
Os cibercriminosos ampliaram sua atuação recentemente ao hackear dispositivos na Ásia, criando uma nova rede de dispositivos infectados. Para mascarar suas atividades, estão usando uma VPN da Nova Caledônia, o que permite redirecionar o tráfego entre a Ásia e América, dificultando o rastreamento. A escolha estratégica de localização desses dispositivos visa tornar a botnet ainda mais resistente.
Para evitar ataques como os do Volt Typhoon, especialistas recomendam atualizar dispositivos de rede, trocar senhas padrão e instalar firewalls onde não houver.