Lumen Black Lotus Labs가 확인한 JDY 봇넷 분석. Volt Typhoon 연계 중국 APT가 운영하는 분산 정찰 인프라로, 1,500개 SOHO/IoT 기기를 이용해 미국 군사 네트워크와 CVE를 신속 스캔한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
JDY 봇넷은 피해자 네트워크에 직접 침투하지 않는다. 미국 군사 관련 기관의 취약한 시스템 목록을 작성해 다른 중국 국가 지원 해킹 그룹에 넘기는, 공격 전 단계 전용 인프라다. 2026년 6월 Lumen의 Black Lotus Labs는 이 봇넷이 2024년 1월 대비 두 배 이상 성장해 1,500개 이상 기기로 운영 중임을 확인했다. Volt Typhoon과 연관된 JDY의 핵심 역할은 새로운 취약점이 공개되고 기업이 패치를 배포하기 전, 수시간 안에 취약 시스템 목록을 후속 침투 그룹에 전달하는 것이다. (FortiClient EMS, CVSS 9.8)이 Fortinet 발표 직후 JDY의 집중 스캐닝 대상이 된 사례가 이를 보여준다.
JDY 봇넷 핵심 지표
항목 내용 발견·분석 기관 Lumen Black Lotus Labs (2026년 6월) 규모 변화 650기기 (2024년 1월) → 1,500+ 기기 (2026년) 귀속 중국 국가 연계 위협 행위자 (Volt Typhoon 연관) 주요 타겟 미국 군사 및 관련 기관 C2 방식 Tor 히든 서비스 + Platypus 리버스쉘 감염 기기 Cisco·Ubiquiti·DrayTek·Hikvision·Linksys 등 SOHO/IoT
JDY는 중국 국가 후원 위협 행위자들이 관리하는 분산 정찰 봇넷이다. Black Lotus Labs의 2024년 1월 KV-botnet 조사 보고서에서 처음으로 KV-botnet의 하위 클러스터로 식별됐다. KV-botnet은 두 개의 상호 보완적 운영 클러스터로 구성된다.
두 클러스터는 페이로드 인프라를 공유하며, JDY가 수집한 취약 대상 목록을 KV 운영자에게 제공하면 KV가 수동으로 침투하는 분업 구조다. 이 구조에서 JDY 기기는 정찰 흔적만 남기고 실제 침투 흔적은 KV 기기가 남긴다. 두 클러스터를 같은 인프라로 연결하지 못하면 전체 작전 범위를 파악하기 어렵다.
Lumen은 Volt Typhoon(G1017)이 KV-botnet의 "적어도 하나의 사용자"라고 표현했다. 공개 직후 운영이 일시 중단된 시점(2023년 5월), 인도-태평양 지역 집중 타겟팅, 인프라 중첩 등이 귀속 근거다. 공유 인프라를 다수 중국 연계 그룹이 나눠 쓰는 구조일 가능성도 있으며, 이 경우 봇넷 해체만으로는 위협 행위자 전체를 차단하기 어렵다.
활동 시기: 적어도 2024년 1월부터 확인. 2026년 6월 현재도 가동 중. MITRE Group ID: JDY 전용 ID 미부여. Volt Typhoon(G1017) 연장 캠페인으로 평가.
JDY 봇넷의 목적은 DDoS나 직접 침투가 아니라 취약 대상 사전 식별이다. 노출된 서비스를 발견·지문채취·지속 매핑해 중국 국가 해킹 그룹에 타겟팅 데이터를 제공한다. Lumen은 "이 능력은 지속되고, 적응하며, 취약점 공개 후 수시간 내에 타겟팅 데이터를 적시에 제공한다"고 설명했다.
선호 기법군:
타겟 산업: 미국 군사 및 관련 기관이 가장 두드러진 타겟. 이어서 브라질, 유럽, 아시아.
탐지 회피 방식: 다수의 SOHO/IoT 기기에 정찰 작업을 분산시켜 개별 IP가 스캐너로 식별되거나 차단될 가능성을 줄인다. 감염된 가정용 네트워크 기기에서 발생하는 트래픽은 정상 사용자 트래픽과 구분하기 어렵다.
2024년 1월 — FBI KV-botnet 해체 이후 첫 확인
미국 법무부·FBI가 법원 명령으로 KV-botnet의 Volt Typhoon 관련 구성 요소를 해체한 직후, JDY 클러스터가 650개 기기 규모로 별도 가동 중임이 Black Lotus Labs 조사로 드러났다. 당시 JDY는 Cisco RV320/RV325 라우터만을 감염 대상으로 했으며, 자동화 스캐닝으로 KV 운영자의 후속 침투를 지원하는 구조였다.
이 시점 Lumen은 KV-botnet과 JDY 클러스터가 페이로드 인프라를 공유함을 확인하고, Volt Typhoon을 포함한 중국 국가 연계 위협 행위자들이 KV-botnet을 공유 인프라로 활용하고 있다고 평가했다.
2026년 4월 — CVE-2026-35616 스캐닝: 공개 후 수시간
Fortinet이 FortiClient EMS(버전 7.4.5~7.4.6)의 인증 우회 취약점 을 공개하자마자, JDY 봇넷 기기들이 해당 취약점 보유 시스템 스캐닝을 시작했다. 은 인증 없이 API를 우회해 원격 코드 실행이 가능한 CVSS 9.8 등급 취약점으로, CISA가 2026년 4월 6일 KEV(Known Exploited Vulnerabilities) 목록에 등재했다.
기업의 취약점 패치 배포에는 통상 수 주가 소요된다. JDY는 그 공백 기간 중 패치 전 취약 시스템을 신속 식별해 국가 그룹에 제공한다. 이 사건은 JDY가 단순 정기 스캐닝이 아닌 위협 인텔리전스 추적 기반 표적 스캐닝을 수행하고 있음을 보여주는 대표적 사례다.
2026년 6월 — 1,500기기 확장 및 미 군사 집중 확인
Black Lotus Labs의 최신 보고서에서 JDY 봇넷이 초기 대비 두 배 이상 성장했음이 공개됐다. 감염 기기 종류도 Cisco RV 시리즈 전용에서 Araknis, Mimosa Networks, Ubiquiti, DrayTek, Hikvision, Linksys 등 MIPS 아키텍처 기기 전반으로 확장됐다. 감염 기기의 상당수는 미국과 브라질에 위치하며, 이후 유럽·아시아 분포가 확인됐다.
Lumen은 이 시점에서 "미국 군사 및 관련 기관이 가장 두드러진 타겟"임을 명시했다. 봇넷은 현재도 가동 중이며, JDY가 수행한 정찰 데이터가 KV 클러스터 등 중국 국가 그룹의 침투 작전에 직접 공급되고 있다고 Lumen은 경고했다.
감염 대상 기기 (확인된 제조사):
모두 MIPS, MIPS64, MIPSEL, MIPSEL64 아키텍처.
| ATT&CK 기법 | ID | 세부 |
|---|---|---|
| 능동 스캐닝 | T1595 | TCP/SSL/UDP/ICMP 고볼륨 프로빙 |
| 취약점 스캐닝 | T1595.002 | CVE 공개 직후 자동 표적 스캔 |
| 네트워크 서비스 발견 | T1046 | 배너·TLS 인증서·프로토콜 지문 수집 |
| 프록시: 멀티홉 | T1090.003 | Tor 히든 서비스 C2 운영 |
| 외부 접근 서비스 악용 | T1190 | SOHO/IoT 기기 초기 감염 벡터 |
Black Lotus Labs의 이번 분석에서 한국을 직접 타겟으로 한 사례는 확인되지 않았다. 그러나 JDY 봇넷이 감염 기기를 확장하며 포함시킨 DrayTek, Ubiquiti, Hikvision 장비는 국내 중소기업과 SOHO 환경에서 광범위하게 사용된다. 같은 감염 벡터에 국내 기기가 노출될 경우, JDY가 수집한 정찰 데이터 안에 국내 네트워크 정보가 포함될 수 있다. 또한 주한미군 기지와 한미 연합 네트워크를 관리하는 보안 담당자라면, JDY가 미국 군사 관련 기관을 집중 지도화하고 있다는 점에서 간접적 영향권 안에 있다고 볼 수 있다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.