Botnet RondoDox
Le campagne malware che sfruttano la botnet RondoDox hanno ampliato notevolmente la loro superficie di attacco, prendendo di mira oltre 50 vulnerabilità di oltre 30 vendor. Gli esperti di sicurezza descrivono questo approccio come un "exploit shotgun", che riflette il targeting indiscriminato di un'ampia gamma di infrastrutture esposte a Internet. I sistemi interessati includono router, videoregistratori digitali (DVR), videoregistratori di rete (NVR), sistemi CCTV, server web e numerosi altri dispositivi connessi in rete.
Sommario
Prime intrusioni e contesto storico
La prima attività degna di nota di RondoDox è stata osservata nel luglio 2025, quando i ricercatori hanno documentato attacchi ai DVR TBK e ai router Four-Faith. Questi dispositivi venivano arruolati in una botnet progettata per eseguire attacchi DDoS (Distributed Denial-of-Service) attraverso i protocolli HTTP, UDP e TCP.
Il 15 giugno 2025 è stato rilevato uno specifico tentativo di intrusione che prendeva di mira i router TP-Link Archer tramite CVE-2023-1389, una falla ripetutamente sfruttata dalla sua divulgazione alla fine del 2022. Questi incidenti evidenziano la continua evoluzione di RondoDox da attacchi opportunistici a singoli dispositivi a campagne più ampie e coordinate.
Distribuzione estesa tramite Loader-as-a-Service
RondoDox ha recentemente adottato un modello loader-as-a-service (LaaS), integrando il suo payload con i malware Mirai e Morte. Questa tattica consente agli aggressori di distribuire più minacce contemporaneamente, complicando gli sforzi di rilevamento e correzione.
Le caratteristiche principali di questa campagna ampliata includono:
- Utilizzo di credenziali deboli, input non sanificati e CVE legacy per compromettere i dispositivi
- Targeting di router SOHO, dispositivi IoT e applicazioni aziendali
- Sfruttamento multi-vettore, che segnala un passaggio dall'opportunismo basato su un singolo dispositivo all'implementazione coordinata di botnet
Ampio arsenale di sfruttamento
RondoDox sfrutta attualmente quasi 56 vulnerabilità, 18 delle quali sono ancora prive di identificatori CVE. I sistemi sfruttati sono di un'ampia gamma di fornitori, tra cui:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion e Cisco.
Questo arsenale in crescita dimostra la crescente sofisticazione della botnet e la sua capacità di sfruttare vulnerabilità note e non ancora documentate.
Implicazioni per la sicurezza informatica
Le ultime campagne RondoDox rappresentano un'evoluzione significativa nello sfruttamento automatizzato delle reti. Combinando operazioni di loader-as-a-service con un set di exploit più ampio, gli aggressori stanno andando oltre gli attacchi opportunistici su singoli dispositivi, puntando a operazioni botnet strategiche e multi-vettore.
I team addetti alla sicurezza devono rimanere vigili, dando priorità alla correzione delle vulnerabilità note, al monitoraggio delle attività di rete sospette e all'implementazione di strumenti di rilevamento proattivi per mitigare il rischio rappresentato da queste minacce in rapida evoluzione.
