RondoDox Botnet IoT-angrebskampagne
Cybersikkerhedsanalytikere har afdækket en meget vedvarende kampagne, der har varet cirka ni måneder, og som aktivt har målrettet Internet of Things (IoT)-enheder og webapplikationer. Formålet med denne operation har været at indlemme sårbare systemer i et botnet kaldet RondoDox, hvilket demonstrerer både tålmodighed og operationel modenhed fra angribernes side.
Indholdsfortegnelse
React2Shell: Det kritiske indgangspunkt
Fra december 2025 observerede forskere, at kampagnen udnyttede React2Shell (CVE-2025-55182) som sin primære indledende adgangsmekanisme. Denne kritiske sårbarhed, med en CVSS-score på 10,0, påvirker implementeringer af React Server Components (RSC) og Next.js. Når den ikke er opdateret, tillader den uautoriseret fjernudførelse af kode, hvilket effektivt giver angribere fuld kontrol over eksponerede systemer.
Eksponering i stor skala: Global påvirkning
Telemetri indsamlet frem til slutningen af december 2025 viser, at omkring 90.300 sårbare tilfælde stadig er eksponeret på verdensplan. Størstedelen er placeret i USA og tegner sig for cirka 68.400 systemer. Andre betydeligt berørte regioner omfatter Tyskland med omkring 4.300 tilfælde, Frankrig med 2.800 og Indien med 1.500, hvilket understreger problemets globale rækkevidde.
RondoDox udvikler sit arsenal af udnyttelsesmuligheder
RondoDox, der først blev identificeret i starten af 2025, har støt udvidet sine muligheder ved at inkorporere yderligere N-dages sårbarheder i sit værktøjssæt til udnyttelse. Disse inkluderer CVE-2023-1389 og CVE-2025-24893. Tidligere rapporter havde allerede advaret om botnettets brug af React2Shell, hvilket fremhævede en tendens til hurtig våbenudnyttelse af nyligt afslørede fejl.
Tre faser af eskalering
Før RondoDox-kampagnen blev brugt som våben for CVE-2025-55182, gennemgik den en struktureret eskaleringscyklus:
Marts-april 2025 : Fokuseret rekognoscering parret med manuel opdagelse og test af sårbarheder.
April-juni 2025 : Daglig, storstilet afprøvning af almindelige webplatforme som WordPress, Drupal og Struts2, sammen med IoT-hardware, herunder Wavlink-routere.
Juli-starten af december 2025 : Fuldautomatiseret, timebaseret implementering designet til maksimal rækkevidde og vedholdenhed.
Decemberangreb: Nyttelast og vedholdenhed
Under den aktivitet, der blev observeret i december 2025, scannede trusselsaktører efter eksponerede Next.js-servere og forsøgte at implementere flere ondsindede komponenter. Disse omfattede kryptovaluta-minere, en botnet-loader og et sundhedstjek-værktøj samt en Mirai-baseret botnet-variant, der er skræddersyet til x86-systemer.
En nøglekomponent, '/nuts/bolts', spiller en defensiv rolle for angriberne. Den fjerner systematisk konkurrerende malware og coin miners, før den primære bot-binære fil hentes fra dens kommando-og-kontrol (C2) infrastruktur. En identificeret variant renser aggressivt inficerede værter ved at fjerne spor af rivaliserende botnet, Docker-baserede nyttelast, rester af tidligere kampagner og tilhørende cron-job, samtidig med at den etablerer persistens gennem ændringer til /etc/crontab.
Malwaren håndhæver yderligere eksklusivitet ved løbende at scanne /proc-filsystemet for at identificere aktive eksekverbare filer og afslutte alle ikke-hvidlistede processer cirka hvert 45. sekund. Denne adfærd blokerer effektivt geninfektionsforsøg fra andre trusselsaktører.
Reduktion af risiko og begrænsning af eksponering
For at imødegå truslen fra RondoDox bør sikkerhedsteams anvende en lagdelt defensiv strategi:
- Opgrader straks Next.js-implementeringer til fuldt opdaterede versioner, der adresserer CVE-2025-55182.
- Isoler IoT-enheder inden for dedikerede VLAN'er for at begrænse lateral bevægelse.
- Implementer webapplikationsfirewalls (WAF'er) og overvåg løbende for unormal procesudførelse.
- Bloker proaktivt kendt kommando- og kontrolinfrastruktur, der er forbundet med botnettet.
Samlet set reducerer disse foranstaltninger sandsynligheden for kompromittering betydeligt og hjælper med at inddæmme virkningen af igangværende botnetaktivitet.
