Botnet RondoDox

Malwarové kampaně využívající botnet RondoDox dramaticky rozšířily svou útočnou plochu a nyní cílí na více než 50 zranitelností u více než 30 dodavatelů. Bezpečnostní experti popisují tento přístup jako „zranitelnou brokovnici“, která odráží neselektivní cílení na širokou škálu infrastruktury vystavené internetu. Mezi postižené systémy patří routery, digitální videorekordéry (DVR), síťové videorekordéry (NVR), systémy CCTV, webové servery a řada dalších zařízení připojených k síti.

Rané intruze a historický kontext

První pozoruhodná aktivita RondoDoxu byla zaznamenána v červenci 2025, kdy vědci zdokumentovali útoky na digitální videorekordéry TBK a routery Four-Faith. Tato zařízení byla zapojena do botnetu určeného k provádění distribuovaných útoků typu denial-of-service (DDoS) přes protokoly HTTP, UDP a TCP.

Dne 15. června 2025 byl detekován konkrétní pokus o narušení, zaměřený na routery TP-Link Archer prostřednictvím chyby CVE-2023-1389, která byla od svého odhalení na konci roku 2022 opakovaně zneužívána. Tyto incidenty zdůrazňují probíhající vývoj útoku RondoDox od oportunních útoků na jedno zařízení k širším a koordinovanějším kampaním.

Rozšířená distribuce prostřednictvím služby Loader-as-a-Service

Společnost RondoDox nedávno zavedla model zavaděče jako služby (LaaS), který zahrnuje malware Mirai a Morte. Tato taktika umožňuje útočníkům distribuovat více hrozeb současně, což komplikuje detekci a nápravu.

Mezi klíčové charakteristiky této rozšířené kampaně patří:

• Použití slabých přihlašovacích údajů, neoprávněných vstupů a starších CVE k ohrožení zařízení
• Cílení na SOHO routery, IoT zařízení a podnikové aplikace
• Vícevektorové zneužívání signalizující posun od oportunismu na jednom zařízení ke koordinovanému nasazení botnetů

Široký exploit Arsenal

RondoDox nyní využívá téměř 56 zranitelností, z nichž 18 zůstává bez identifikátorů CVE. Zneužívané systémy pocházejí od široké škály dodavatelů, včetně:

D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion a Cisco.

Tento rostoucí arzenál demonstruje rostoucí sofistikovanost botnetu a jeho schopnost zneužívat jak známé, tak dříve nezdokumentované zranitelnosti.

Důsledky pro kybernetickou bezpečnost

Nejnovější kampaně RondoDox představují významný vývoj v automatizovaném zneužívání sítí. Kombinací operací typu loader-as-a-service s rozšířenou sadou exploitů se útočníci posouvají od oportunních útoků na jednotlivá zařízení ke strategickým operacím botnetů s více vektory.

Bezpečnostní týmy musí zůstat ostražité, upřednostňovat opravy známých zranitelností, monitorovat podezřelou síťovou aktivitu a nasazovat proaktivní detekční nástroje ke zmírnění rizika, které tyto rychle se vyvíjející hrozby představují.