Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Botnets Campanya d'atac de la botnet IoT de RondoDox

Campanya d'atac de la botnet IoT de RondoDox

El Mezo el Botnets
Traduir a:

Els analistes de ciberseguretat han descobert una campanya altament persistent que ha durat aproximadament nou mesos i que ha atacat activament dispositius de la Internet de les Coses (IoT) i aplicacions web. L'objectiu d'aquesta operació ha estat reclutar sistemes vulnerables en una botnet anomenada RondoDox, demostrant paciència i maduresa operativa per part dels atacants.

React2Shell: El punt d’entrada crític

A desembre de 2025, els investigadors van observar que la campanya explotava React2Shell (CVE-2025-55182) com a principal mecanisme d'accés inicial. Aquesta vulnerabilitat crítica, amb una puntuació CVSS de 10.0, afecta els components de React Server (RSC) i les implementacions de Next.js. Quan no s'aplica el pegat, permet l'execució remota de codi no autenticat, cosa que atorga als atacants un control total sobre els sistemes exposats.

Exposició a escala: impacte global

La telemetria recollida fins a finals de desembre de 2025 indica que aproximadament 90.300 instàncies vulnerables continuen exposades a tot el món. La majoria es troben als Estats Units, cosa que representa aproximadament 68.400 sistemes. Altres regions significativament afectades inclouen Alemanya amb unes 4.300 instàncies, França amb 2.800 i l'Índia amb 1.500, cosa que subratlla l'abast global del problema.

RondoDox evoluciona el seu arsenal d’exploits

Identificada per primera vegada a principis del 2025, RondoDox ha ampliat constantment les seves capacitats incorporant vulnerabilitats addicionals de tipus N-day al seu conjunt d'eines d'explotació. Aquestes inclouen CVE-2023-1389 i CVE-2025-24893. Informes anteriors ja havien advertit de l'ús de React2Shell per part de la botnet, destacant una tendència de ràpida armificació de defectes recentment revelats.

Tres fases d’escalada

Abans de convertir CVE-2025-55182 en una arma, la campanya RondoDox va progressar a través d'un cicle d'escalada estructurat:

Març–abril de 2025 : Reconeixement centrat combinat amb descobriment i proves manuals de vulnerabilitats.

Abril-juny de 2025 : Sondeig diari a gran escala de plataformes web comunes com ara WordPress, Drupal i Struts2, juntament amb maquinari IoT, inclosos els encaminadors Wavlink.

Juliol–principis de desembre de 2025 : implementació totalment automatitzada i cada hora dissenyada per a un abast i una persistència màxims.

Atacs de desembre: càrregues útils i persistència

Durant l'activitat observada el desembre de 2025, els actors amenaçadors van escanejar els servidors Next.js exposats i van intentar implementar diversos components maliciosos. Aquests incloïen miners de criptomoneda, un carregador de botnets i una utilitat de comprovació de l'estat, i una variant de botnet basada en Mirai adaptada per a sistemes x86.

Un component clau, "/nuts/bolts", juga un paper defensiu per als atacants. Elimina sistemàticament el programari maliciós i els miners de monedes de la competència abans de recuperar el binari del bot principal de la seva infraestructura de comandament i control (C2). Una variant identificada neteja agressivament els hosts infectats eliminant rastres de botnets rivals, càrregues útils basades en Docker, restes de campanyes anteriors i tasques cron associades, alhora que estableix la persistència mitjançant modificacions a /etc/crontab.

El programari maliciós també reforça l'exclusivitat escanejant contínuament el sistema de fitxers /proc per identificar executables actius, tancant qualsevol procés que no estigui a la llista blanca aproximadament cada 45 segons. Aquest comportament bloqueja eficaçment els intents de reinfecció per part d'altres actors de pirateria.

Reducció del risc i limitació de l'exposició

Per contrarestar l'amenaça que representa RondoDox, els equips de seguretat haurien d'adoptar una estratègia defensiva per capes:

  • Actualitzeu immediatament les implementacions de Next.js a versions completament actualitzades que solucionin el problema CVE-2025-55182.
  • Aïlleu els dispositius IoT dins de VLAN dedicades per limitar el moviment lateral.
  • Implementar tallafocs d'aplicacions web (WAF) i supervisar contínuament l'execució anòmala de processos.
  • Bloquejar proactivament la infraestructura de comandament i control coneguda associada a la botnet.

En conjunt, aquestes mesures redueixen significativament la probabilitat de compromís i ajuden a contenir l'impacte de l'activitat contínua de les botnets.

Tendència

Més vist

Carregant...