RondoDox Botnet
Les campanyes de programari maliciós que aprofiten la botnet RondoDox han ampliat dràsticament la seva superfície d'atac, i ara s'han dirigit a més de 50 vulnerabilitats de més de 30 proveïdors. Els experts en seguretat descriuen aquest enfocament com una "escopeta d'exploit", que reflecteix l'objectiu indiscriminat d'una àmplia gamma d'infraestructures exposades a Internet. Els sistemes afectats inclouen encaminadors, gravadors de vídeo digital (DVR), gravadors de vídeo en xarxa (NVR), sistemes de CCTV, servidors web i nombrosos altres dispositius connectats a la xarxa.
Taula de continguts
Primeres intrusions i context històric
La primera activitat notable de RondoDox es va observar el juliol de 2025, quan els investigadors van documentar atacs a DVRs TBK i encaminadors Four-Faith. Aquests dispositius s'estaven integrant en una botnet dissenyada per dur a terme atacs de denegació de servei distribuïts (DDoS) a través dels protocols HTTP, UDP i TCP.
El 15 de juny de 2025 es va detectar un intent d'intrusió específic dirigit als encaminadors TP-Link Archer a través de la CVE-2023-1389, una falla explotada repetidament des de la seva divulgació a finals de 2022. Aquests incidents destaquen l'evolució contínua de RondoDox des d'atacs oportunistes a un sol dispositiu fins a campanyes més àmplies i coordinades.
Distribució ampliada a través del carregador com a servei
RondoDox ha adoptat recentment un model de carregador com a servei (LaaS), empaquetant la seva càrrega útil juntament amb programari maliciós Mirai i Morte. Aquesta tàctica permet als atacants distribuir múltiples amenaces simultàniament, cosa que complica els esforços de detecció i remediació.
Les característiques principals d'aquesta campanya ampliada inclouen:
- Ús de credencials febles, entrades no sanejades i CVE heretats per comprometre dispositius
- Dirigint-se a encaminadors SOHO, dispositius IoT i aplicacions empresarials
- Explotació multivectorial, que indica un canvi de l'oportunisme d'un sol dispositiu al desplegament coordinat de botnets
Arsenal d'explotació àmplia
RondoDox ara utilitza gairebé 56 vulnerabilitats, 18 de les quals romanen sense identificadors CVE. Els sistemes explotats abasten una àmplia gamma de proveïdors, incloent-hi:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion i Cisco.
Aquest arsenal creixent demostra la sofisticació creixent de la botnet i la seva capacitat per explotar vulnerabilitats tant conegudes com no documentades anteriorment.
Implicacions per a la ciberseguretat
Les darreres campanyes de RondoDox representen una evolució significativa en l'explotació automatitzada de xarxes. En combinar operacions de carregador com a servei amb un conjunt d'explotacions ampliat, els atacants estan anant més enllà dels atacs oportunistes en dispositius individuals cap a operacions estratègiques de botnet multivector.
Els equips de seguretat han de romandre vigilants, prioritzant l'aplicació de pegats a vulnerabilitats conegudes, monitoritzant l'activitat sospitosa de la xarxa i implementant eines de detecció proactiva per mitigar el risc que plantegen aquestes amenaces en ràpida evolució.
