RondoDox बॉटनेट आईओटी हमला अभियान

साइबर सुरक्षा विश्लेषकों ने लगभग नौ महीने तक चलने वाले एक बेहद सक्रिय अभियान का खुलासा किया है, जिसने इंटरनेट ऑफ थिंग्स (आईओटी) उपकरणों और वेब अनुप्रयोगों को सक्रिय रूप से निशाना बनाया है। इस अभियान का उद्देश्य कमजोर प्रणालियों को रोंडोडॉक्स नामक बॉटनेट में शामिल करना था, जो हमलावरों की धैर्य और परिचालन परिपक्वता को दर्शाता है।

React2Shell: महत्वपूर्ण प्रवेश बिंदु

दिसंबर 2025 तक, शोधकर्ताओं ने पाया कि यह अभियान React2Shell (CVE-2025-55182) का उपयोग करके प्रारंभिक पहुँच तंत्र के रूप में काम कर रहा था। CVSS स्कोर 10.0 वाली यह गंभीर भेद्यता, React Server Components (RSC) और Next.js कार्यान्वयनों को प्रभावित करती है। यदि इसे ठीक नहीं किया जाता है, तो यह अनधिकृत रिमोट कोड निष्पादन की अनुमति देता है, जिससे हमलावरों को असुरक्षित प्रणालियों पर पूर्ण नियंत्रण प्राप्त हो जाता है।

व्यापक स्तर पर प्रसार: वैश्विक प्रभाव

दिसंबर 2025 के अंत तक एकत्रित टेलीमेट्री डेटा से पता चलता है कि विश्व स्तर पर लगभग 90,300 संवेदनशील सिस्टम अभी भी खतरे में हैं। इनमें से अधिकांश संयुक्त राज्य अमेरिका में स्थित हैं, जहां लगभग 68,400 सिस्टम प्रभावित हैं। अन्य महत्वपूर्ण रूप से प्रभावित क्षेत्रों में जर्मनी (लगभग 4,300 सिस्टम), फ्रांस (2,800) और भारत (1,500) शामिल हैं, जो इस समस्या की वैश्विक व्यापकता को रेखांकित करता है।

RondoDox ने अपने एक्सप्लॉइट शस्त्रागार को और विकसित किया है।

2025 की शुरुआत में पहली बार पहचाना गया, RondoDox ने अपने शोषण टूलकिट में अतिरिक्त N-डे कमजोरियों को शामिल करके अपनी क्षमताओं का लगातार विस्तार किया है। इनमें CVE-2023-1389 और CVE-2025-24893 शामिल हैं। पहले की रिपोर्टों में पहले ही बॉटनेट द्वारा React2Shell के उपयोग के बारे में चेतावनी दी गई थी, जो हाल ही में सामने आई खामियों के तेजी से हथियार के रूप में उपयोग की प्रवृत्ति को उजागर करती है।

वृद्धि के तीन चरण

CVE-2025-55182 को हथियार के रूप में इस्तेमाल करने से पहले, RondoDox अभियान एक संरचित वृद्धि चक्र के माध्यम से आगे बढ़ा:

मार्च-अप्रैल 2025 : मैन्युअल रूप से कमजोरियों की खोज और परीक्षण के साथ केंद्रित टोही अभियान।

अप्रैल-जून 2025 : वर्डप्रेस, ड्रुपल और स्ट्रट्स2 जैसे सामान्य वेब प्लेटफॉर्म के साथ-साथ वेवलिंक राउटर सहित आईओटी हार्डवेयर की दैनिक, बड़े पैमाने पर जांच।

जुलाई-दिसंबर 2025 की शुरुआत : अधिकतम पहुंच और निरंतरता के लिए डिज़ाइन किया गया पूर्णतः स्वचालित, प्रति घंटा परिनियोजन।

दिसंबर के हमले: पेलोड और निरंतरता

दिसंबर 2025 में देखी गई गतिविधि के दौरान, हमलावरों ने उजागर Next.js सर्वरों की खोज की और कई दुर्भावनापूर्ण घटकों को तैनात करने का प्रयास किया। इनमें क्रिप्टोकरेंसी माइनर, बॉटनेट लोडर और हेल्थ-चेक यूटिलिटी, और x86 सिस्टम के लिए तैयार किया गया मिराई-आधारित बॉटनेट वेरिएंट शामिल थे।

एक प्रमुख घटक, '/nuts/bolts', हमलावरों के लिए रक्षात्मक भूमिका निभाता है। यह अपने कमांड-एंड-कंट्रोल (C2) इंफ्रास्ट्रक्चर से प्राथमिक बॉट बाइनरी को प्राप्त करने से पहले प्रतिस्पर्धी मैलवेयर और कॉइन माइनर्स को व्यवस्थित रूप से समाप्त करता है। एक पहचाना गया वेरिएंट प्रतिद्वंद्वी बॉटनेट, डॉकर-आधारित पेलोड, पिछली गतिविधियों के अवशेष और संबंधित क्रॉन जॉब्स के निशान हटाकर संक्रमित होस्ट को आक्रामक रूप से साफ करता है, साथ ही /etc/crontab में संशोधन करके निरंतरता स्थापित करता है।

यह मैलवेयर सक्रिय निष्पादन योग्य फ़ाइलों की पहचान करने के लिए /proc फ़ाइल सिस्टम को लगातार स्कैन करके विशिष्टता को और मजबूत करता है, और लगभग हर 45 सेकंड में उन सभी प्रक्रियाओं को समाप्त कर देता है जो व्हाइटलिस्ट में शामिल नहीं हैं। यह व्यवहार अन्य हमलावरों द्वारा पुन: संक्रमण के प्रयासों को प्रभावी ढंग से रोकता है।

जोखिम को कम करना और जोखिम को सीमित करना

RondoDox से उत्पन्न खतरे का मुकाबला करने के लिए, सुरक्षा टीमों को एक स्तरीय रक्षात्मक रणनीति अपनानी चाहिए:

• CVE-2025-55182 की समस्या को हल करने वाले पूरी तरह से पैच किए गए संस्करणों में Next.js डिप्लॉयमेंट को तुरंत अपग्रेड करें।
• इंटरनेट ऑफ थिंग्स (IoT) उपकरणों को समर्पित VLAN के भीतर अलग रखें ताकि उनके बीच परस्पर क्रिया सीमित हो सके।
• वेब एप्लिकेशन फायरवॉल (WAF) लागू करें और असामान्य प्रक्रिया निष्पादन की लगातार निगरानी करें।
• बॉटनेट से जुड़े ज्ञात कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर को पहले से ही ब्लॉक करें।

कुल मिलाकर, ये उपाय सुरक्षा में सेंध लगने की संभावना को काफी हद तक कम करते हैं और चल रही बॉटनेट गतिविधि के प्रभाव को नियंत्रित करने में मदद करते हैं।