کمپین حمله بات‌نت RondoDox به اینترنت اشیا

تحلیلگران امنیت سایبری یک کمپین بسیار مداوم را کشف کرده‌اند که تقریباً نه ماه به طول انجامیده و به طور فعال دستگاه‌ها و برنامه‌های وب اینترنت اشیا (IoT) را هدف قرار داده است. هدف این عملیات، جذب سیستم‌های آسیب‌پذیر به یک بات‌نت به نام RondoDox بوده است که نشان دهنده صبر و بلوغ عملیاتی مهاجمان است.

React2Shell: نقطه ورود بحرانی

از دسامبر ۲۰۲۵، محققان مشاهده کردند که این کمپین از React2Shell (CVE-2025-55182) به عنوان مکانیسم دسترسی اولیه اصلی خود سوءاستفاده می‌کند. این آسیب‌پذیری بحرانی، که دارای امتیاز CVSS 10.0 است، بر پیاده‌سازی‌های React Server Components (RSC) و Next.js تأثیر می‌گذارد. در صورت عدم رفع مشکل، امکان اجرای کد از راه دور غیرمجاز فراهم می‌شود و عملاً به مهاجمان کنترل کامل سیستم‌های در معرض خطر را می‌دهد.

مواجهه در مقیاس بزرگ: تأثیر جهانی

داده‌های جمع‌آوری‌شده تا اواخر دسامبر ۲۰۲۵ نشان می‌دهد که تقریباً ۹۰۳۰۰ مورد آسیب‌پذیر در سراسر جهان در معرض خطر هستند. اکثر این موارد در ایالات متحده واقع شده‌اند که تقریباً ۶۸۴۰۰ سیستم را تشکیل می‌دهند. سایر مناطق تحت تأثیر قابل توجه شامل آلمان با حدود ۴۳۰۰ مورد، فرانسه با ۲۸۰۰ مورد و هند با ۱۵۰۰ مورد هستند که نشان‌دهنده گستردگی جهانی این مشکل است.

RondoDox زرادخانه‌ی اکسپلویت‌های خود را تکامل می‌دهد

RondoDox که اولین بار در اوایل سال ۲۰۲۵ شناسایی شد، با گنجاندن آسیب‌پذیری‌های N-day اضافی در ابزار بهره‌برداری خود، به طور پیوسته قابلیت‌های خود را گسترش داده است. این آسیب‌پذیری‌ها شامل CVE-2023-1389 و CVE-2025-24893 می‌شوند. گزارش‌های قبلی در مورد استفاده این بات‌نت از React2Shell هشدار داده بودند و روند سریع استفاده از آسیب‌پذیری‌های تازه افشا شده را به عنوان سلاح برجسته کرده بودند.

سه مرحله تشدید

قبل از استفاده‌ی ابزاری از آسیب‌پذیری CVE-2025-55182، کمپین RondoDox از طریق یک چرخه‌ی تشدید ساختاریافته پیش می‌رفت:

مارس-آوریل ۲۰۲۵ : شناسایی متمرکز همراه با کشف و آزمایش دستی آسیب‌پذیری‌ها.

آوریل-ژوئن ۲۰۲۵ : بررسی روزانه و گسترده پلتفرم‌های وب رایج مانند وردپرس، دروپال و Struts2، در کنار سخت‌افزارهای اینترنت اشیا، از جمله روترهای Wavlink.

ژوئیه تا اوایل دسامبر ۲۰۲۵ : استقرار کاملاً خودکار و ساعتی که برای حداکثر دسترسی و ماندگاری طراحی شده است.

حملات دسامبر: پیلودها و پایداری

در طول فعالیت مشاهده‌شده در دسامبر ۲۰۲۵، عوامل تهدید، سرورهای آسیب‌پذیر Next.js را اسکن کرده و تلاش کردند تا چندین مؤلفه مخرب را مستقر کنند. این مؤلفه‌ها شامل ماینرهای ارز دیجیتال، یک ابزار بارگذاری بات‌نت و بررسی سلامت، و یک نوع بات‌نت مبتنی بر Mirai که برای سیستم‌های x86 طراحی شده بود، می‌شد.

یک جزء کلیدی، '/nuts/bolts'، نقش دفاعی برای مهاجمان ایفا می‌کند. این بدافزار به طور سیستماتیک، بدافزارهای رقیب و استخراج‌کنندگان ارز دیجیتال را قبل از بازیابی بات‌نت اصلی از زیرساخت فرمان و کنترل (C2) خود، از بین می‌برد. یکی از گونه‌های شناسایی‌شده، با حذف آثار بات‌نت‌های رقیب، پیلودهای مبتنی بر Docker، بقایای کمپین‌های قبلی و cron jobs، میزبان‌های آلوده را به شدت پاکسازی می‌کند، در حالی که همزمان از طریق تغییرات در /etc/crontab، پایداری خود را ایجاد می‌کند.

این بدافزار با اسکن مداوم سیستم فایل /proc برای شناسایی فایل‌های اجرایی فعال، انحصار خود را بیشتر اعمال می‌کند و تقریباً هر ۴۵ ثانیه یکبار فرآیندهای خارج از لیست سفید را خاتمه می‌دهد. این رفتار به طور مؤثر تلاش‌های آلوده‌سازی مجدد توسط سایر عوامل تهدید را مسدود می‌کند.

کاهش ریسک و محدود کردن مواجهه

برای مقابله با تهدید RondoDox، تیم‌های امنیتی باید یک استراتژی دفاعی چندلایه اتخاذ کنند:

• فوراً نسخه‌های Next.js را به نسخه‌های کاملاً وصله‌شده که آسیب‌پذیری CVE-2025-55182 را برطرف می‌کنند، ارتقا دهید.
• دستگاه‌های اینترنت اشیا را در VLANهای اختصاصی ایزوله کنید تا حرکات جانبی محدود شود.
• فایروال‌های برنامه‌های کاربردی وب (WAF) را پیاده‌سازی کنید و به‌طور مداوم بر اجرای فرآیندهای غیرعادی نظارت داشته باشید.
• زیرساخت‌های فرماندهی و کنترل شناخته‌شده‌ی مرتبط با بات‌نت را به‌طور پیشگیرانه مسدود کنید.

روی هم رفته، این اقدامات احتمال نفوذ را به میزان قابل توجهی کاهش داده و به مهار تأثیر فعالیت مداوم بات‌نت کمک می‌کند.