Kampanja napada na IoT botnet u RondoDoxu
Analitičari kibernetičke sigurnosti otkrili su vrlo upornu kampanju koja je trajala otprilike devet mjeseci, a aktivno je ciljala uređaje i web aplikacije Interneta stvari (IoT). Cilj ove operacije bio je regrutirati ranjive sustave u botnet nazvan RondoDox, demonstrirajući i strpljenje i operativnu zrelost napadača.
Sadržaj
React2Shell: Kritična ulazna točka
Od prosinca 2025. istraživači su primijetili kampanju koja iskorištava React2Shell (CVE-2025-55182) kao svoj primarni početni mehanizam pristupa. Ova kritična ranjivost, s CVSS ocjenom 10,0, utječe na implementacije React Server Components (RSC) i Next.js. Kada se ne zakrpa, omogućuje neautentificirano udaljeno izvršavanje koda, učinkovito dajući napadačima potpunu kontrolu nad izloženim sustavima.
Izloženost u velikim razmjerima: Globalni utjecaj
Telemetrija prikupljena do kraja prosinca 2025. pokazuje da je otprilike 90.300 ranjivih instanci i dalje izloženo diljem svijeta. Većina se nalazi u Sjedinjenim Državama, što čini otprilike 68.400 sustava. Druge značajno pogođene regije uključuju Njemačku s oko 4.300 instanci, Francusku s 2.800 i Indiju s 1.500, što naglašava globalni doseg problema.
RondoDox razvija svoj arsenal eksploata
Prvi put identificiran početkom 2025., RondoDox je postupno proširivao svoje mogućnosti uključivanjem dodatnih N-dnevnih ranjivosti u svoj skup alata za iskorištavanje. To uključuje CVE-2023-1389 i CVE-2025-24893. Prethodna izvješća već su upozoravala na korištenje React2Shella od strane botneta, ističući trend brze upotrebe novootkrivenih nedostataka kao oružja.
Tri faze eskalacije
Prije nego što je CVE-2025-55182 postao oružje, kampanja RondoDox napredovala je kroz strukturirani ciklus eskalacije:
Ožujak – travanj 2025 .: Fokusirano izviđanje upareno s ručnim otkrivanjem i testiranjem ranjivosti.
Travanj–lipanj 2025 .: Dnevno, opsežno ispitivanje uobičajenih web platformi kao što su WordPress, Drupal i Struts2, uz IoT hardver, uključujući Wavlink usmjerivače.
Srpanj – početak prosinca 2025 .: Potpuno automatizirano, satno postavljanje osmišljeno za maksimalni doseg i trajnost.
Prosinački napadi: teret i upornost
Tijekom aktivnosti uočene u prosincu 2025., akteri prijetnji skenirali su izložene Next.js servere i pokušali implementirati više zlonamjernih komponenti. To je uključivalo rudare kriptovaluta, učitivač botneta i uslužni program za provjeru ispravnosti te varijantu botneta temeljenu na Miraiju prilagođenu za x86 sustave.
Ključna komponenta, '/nuts/bolts', igra obrambenu ulogu za napadače. Sustavno uništava konkurentski zlonamjerni softver i rudare kovanica prije nego što preuzme primarni binarni fajl bota iz svoje infrastrukture za upravljanje i kontrolu (C2). Jedna identificirana varijanta agresivno čisti zaražene hostove uklanjanjem tragova konkurentskih botneta, Docker-baziranih korisnih tereta, ostataka ranijih kampanja i povezanih cron poslova, istovremeno uspostavljajući perzistentnost putem modifikacija /etc/crontab.
Zlonamjerni softver dodatno nameće ekskluzivnost kontinuiranim skeniranjem datotečnog sustava /proc kako bi identificirao aktivne izvršne datoteke, prekidajući sve procese koji nisu na bijeloj listi otprilike svakih 45 sekundi. Ovo ponašanje učinkovito blokira pokušaje ponovne zaraze od strane drugih prijetnji.
Smanjenje rizika i ograničavanje izloženosti
Kako bi se suprotstavili prijetnji koju predstavlja RondoDox, sigurnosni timovi trebali bi usvojiti višeslojnu obrambenu strategiju:
- Odmah nadogradite implementacije Next.js-a na potpuno ažurirane verzije koje rješavaju problem CVE-2025-55182.
- Izolirajte IoT uređaje unutar namjenskih VLAN-ova kako biste ograničili lateralno kretanje.
- Implementirajte zaštitne zidove web aplikacija (WAF) i kontinuirano pratite anomalije u izvršavanju procesa.
- Proaktivno blokirajte poznatu infrastrukturu za zapovijedanje i kontrolu povezanu s botnetom.
Zajedno, ove mjere značajno smanjuju vjerojatnost kompromitiranja i pomažu u obuzdavanju utjecaja tekuće aktivnosti botneta.
