RondoDox Botnet
Malwarekampagner, der udnytter RondoDox-botnettet, har dramatisk udvidet deres angrebsflade og er nu rettet mod over 50 sårbarheder på tværs af mere end 30 leverandører. Sikkerhedseksperter beskriver denne tilgang som et 'exploit shotgun', hvilket afspejler den vilkårlige målretning af en bred vifte af internet-eksponeret infrastruktur. De berørte systemer omfatter routere, digitale videooptagere (DVR'er), netværksvideooptagere (NVR'er), CCTV-systemer, webservere og adskillige andre netværksforbundne enheder.
Indholdsfortegnelse
Tidlige indtrængen og historisk kontekst
Den første bemærkelsesværdige RondoDox-aktivitet blev observeret i juli 2025, da forskere dokumenterede angreb på TBK DVR'er og Four-Faith-routere. Disse enheder blev indlemmet i et botnet designet til at udføre distribuerede denial-of-service (DDoS)-angreb på tværs af HTTP-, UDP- og TCP-protokoller.
Et specifikt indtrængningsforsøg blev opdaget den 15. juni 2025, rettet mod TP-Link Archer-routere via CVE-2023-1389, en fejl der gentagne gange er blevet udnyttet siden dens afsløring i slutningen af 2022. Disse hændelser fremhæver den igangværende udvikling af RondoDox fra opportunistiske angreb på én enhed til bredere, mere koordinerede kampagner.
Udvidet distribution gennem Loader-as-a-Service
RondoDox har for nylig implementeret en loader-as-a-service (LaaS)-model, hvor dens nyttelast pakkes sammen med Mirai- og Morte-malware. Denne taktik giver angribere mulighed for at distribuere flere trusler samtidigt, hvilket komplicerer detektions- og afhjælpningsindsatsen.
Hovedkarakteristika ved denne udvidede kampagne inkluderer:
- Brug af svage legitimationsoplysninger, usaniterede input og ældre CVE'er til at kompromittere enheder
- Målretning af SOHO-routere, IoT-enheder og virksomhedsapplikationer
- Multivektorudnyttelse, der signalerer et skift fra opportunisme på én enhed til koordineret botnet-implementering
Bredt udnyttelsesarsenal
RondoDox anvender nu næsten 56 sårbarheder, hvoraf 18 forbliver uden CVE-identifikatorer. De udnyttede systemer spænder over en bred vifte af leverandører, herunder:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion og Cisco.
Dette voksende arsenal demonstrerer botnettets stigende sofistikering og dets evne til at udnytte både velkendte og tidligere udokumenterede sårbarheder.
Implikationer for cybersikkerhed
De seneste RondoDox-kampagner repræsenterer en betydelig udvikling inden for automatiseret netværksudnyttelse. Ved at kombinere loader-as-a-service-operationer med et udvidet udvalg af udnyttelser bevæger angribere sig ud over opportunistiske angreb på enkelte enheder og hen imod strategiske botnet-operationer med flere vektorer.
Sikkerhedsteams skal forblive årvågne, prioritere rettelser af kendte sårbarheder, overvåge mistænkelig netværksaktivitet og implementere proaktive detektionsværktøjer for at afbøde risikoen fra disse hurtigt udviklende trusler.
