Kampaň útoků na botnet v IoT RondoDoxu
Analytici kybernetické bezpečnosti odhalili vysoce perzistentní kampaň trvající přibližně devět měsíců, která aktivně cílila na zařízení a webové aplikace internetu věcí (IoT). Cílem této operace bylo zapojit zranitelné systémy do botnetu s názvem RondoDox, což prokázalo trpělivost a operační vyspělost útočníků.
Obsah
React2Shell: Kritický vstupní bod
V prosinci 2025 výzkumníci pozorovali kampaň využívající React2Shell (CVE-2025-55182) jako svůj primární mechanismus počátečního přístupu. Tato kritická zranitelnost s hodnocením CVSS 10,0 ovlivňuje implementace komponent React Server (RSC) a Next.js. Po odinstalaci umožňuje neověřené vzdálené spuštění kódu, což útočníkům efektivně poskytuje plnou kontrolu nad exponovanými systémy.
Expozice ve velkém měřítku: Globální dopad
Telemetrie shromážděná do konce prosince 2025 ukazuje, že po celém světě je stále vystaveno zhruba 90 300 zranitelných instancí. Většina se nachází ve Spojených státech, což představuje přibližně 68 400 systémů. Mezi další významně postižené regiony patří Německo s přibližně 4 300 instancemi, Francie s 2 800 a Indie s 1 500, což podtrhuje globální dosah problému.
RondoDox vyvíjí svůj exploitový arzenál
RondoDox, poprvé identifikovaný na začátku roku 2025, postupně rozšiřuje své možnosti začleněním dalších zranitelností typu N-day do své sady nástrojů pro zneužití. Mezi ně patří CVE-2023-1389 a CVE-2025-24893. Již předchozí zprávy varovaly před tím, že botnet využívá React2Shell, a zdůrazňovaly trend rychlého zneužití nově odhalených chyb jako zbraní.
Tři fáze eskalace
Před zneužitím CVE-2025-55182 jako zbraně prošla kampaň RondoDox strukturovaným eskalačním cyklem:
Březen–duben 2025 : Cílený průzkum spojený s manuálním odhalováním a testováním zranitelností.
Duben–červen 2025 : Denní rozsáhlé testování běžných webových platforem, jako jsou WordPress, Drupal a Struts2, spolu s hardwarem IoT, včetně routerů Wavlink.
Červenec – začátek prosince 2025 : Plně automatizované, hodinové nasazení navržené pro maximální dosah a trvalost.
Prosincové útoky: Užitečné zatížení a vytrvalost
Během aktivity pozorované v prosinci 2025 útočníci skenovali a hledali exponované servery Next.js a pokusili se nasadit několik škodlivých komponent. Mezi ně patřily těžaře kryptoměn, zavaděč a kontrolní nástroj botnetu a varianta botnetu založená na platformě Mirai, přizpůsobená pro systémy x86.
Klíčová komponenta „/nuts/bolts“ hraje pro útočníky obrannou roli. Systematicky ukončuje konkurenční malware a těžaře mincí, než z infrastruktury velení a řízení (C2) získá primární binární soubor bota. Jedna identifikovaná varianta agresivně čistí infikované hostitele odstraněním stop konkurenčních botnetů, dat založených na Dockeru, zbytků dřívějších kampaní a souvisejících cron úloh a zároveň zajišťuje perzistenci prostřednictvím úprav souboru /etc/crontab.
Malware dále vynucuje exkluzivitu neustálým skenováním souborového systému /proc za účelem identifikace aktivních spustitelných souborů a zhruba každých 45 sekund ukončuje všechny procesy, které nejsou na bílé listině. Toto chování účinně blokuje pokusy o opětovnou infekci ze strany jiných aktérů hrozby.
Snížení rizika a omezení expozice
Aby bezpečnostní týmy čelily hrozbě, kterou představuje RondoDox, měly by přijmout vícevrstvou obrannou strategii:
- Okamžitě aktualizujte nasazení Next.js na plně opravené verze řešící chybu CVE-2025-55182.
- Izolujte zařízení IoT v rámci vyhrazených sítí VLAN, abyste omezili jejich laterální pohyb.
- Implementujte firewally webových aplikací (WAF) a průběžně monitorujte anomální provádění procesů.
- Proaktivně blokujte známou infrastrukturu velení a řízení spojenou s botnetem.
Tato opatření dohromady výrazně snižují pravděpodobnost kompromitace a pomáhají omezit dopad probíhající aktivity botnetů.
