Ботнет мрежата RondoDox

Кампаниите със зловреден софтуер, използващи ботнета RondoDox, драстично разшириха повърхността си за атака, като сега са насочени към над 50 уязвимости в повече от 30 доставчици. Експертите по сигурността описват този подход като „експлоатационна пушка“, отразявайки безразборното насочване към широк спектър от инфраструктура, изложена на интернет. Засегнатите системи включват рутери, цифрови видеорекордери (DVR), мрежови видеорекордери (NVR), системи за видеонаблюдение, уеб сървъри и множество други устройства, свързани с мрежата.

Ранни прониквания и исторически контекст

Първата забележителна активност на RondoDox е наблюдавана през юли 2025 г., когато изследователи документират атаки срещу DVR-и на TBK и рутери на Four-Faith. Тези устройства са били включени в ботнет мрежа, предназначена да извършва разпределени атаки от типа „отказ от услуга“ (DDoS) през HTTP, UDP и TCP протоколи.

На 15 юни 2025 г. е засечен специфичен опит за проникване, насочен към рутери TP-Link Archer чрез CVE-2023-1389, уязвимост, многократно използвана след разкриването ѝ в края на 2022 г. Тези инциденти подчертават продължаващата еволюция на RondoDox от опортюнистични атаки срещу едно устройство до по-широки, по-координирани кампании.

Разширено разпространение чрез Loader-as-a-Service

RondoDox наскоро възприе модела „зареждащ като услуга“ (LaaS), като пакетира полезния си товар заедно със зловредния софтуер Mirai и Morte. Тази тактика позволява на атакуващите да разпространяват множество заплахи едновременно, което усложнява усилията за откриване и отстраняване на заплахи.

Ключовите характеристики на тази разширена кампания включват:

• Използване на слаби идентификационни данни, несанкционирани входни данни и остарели CVE за компрометиране на устройства
• Насочване към SOHO рутери, IoT устройства и корпоративни приложения
• Многовекторна експлоатация, сигнализираща за преминаване от опортюнизъм с едно устройство към координирано внедряване на ботнет мрежи

Широк експлойт Арсенал

RondoDox вече използва близо 56 уязвимости, 18 от които остават без CVE идентификатори. Експлоатираните системи обхващат широк кръг от доставчици, включително:

D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion и Cisco.

Този нарастващ арсенал демонстрира нарастващата сложност на ботнета и способността му да използва както добре познати, така и недокументирани досега уязвимости.

Последици за киберсигурността

Последните кампании на RondoDox представляват значителна еволюция в автоматизираната мрежова експлоатация. Чрез комбиниране на операции „зареждач като услуга“ с разширен набор от експлойти, атакуващите преминават отвъд опортюнистичните атаки срещу единични устройства към стратегически, многовекторни ботнет операции.

Екипите по сигурност трябва да останат бдителни, като дават приоритет на отстраняването на известни уязвимости, наблюдението за подозрителна мрежова активност и внедряването на проактивни инструменти за откриване, за да смекчат риска, породен от тези бързо развиващи се заплахи.