Campagna di attacco IoT tramite botnet RondoDox
Gli analisti della sicurezza informatica hanno scoperto una campagna altamente persistente, durata circa nove mesi, che ha preso di mira attivamente dispositivi IoT (Internet of Things) e applicazioni web. L'obiettivo di questa operazione è stato quello di reclutare sistemi vulnerabili in una botnet denominata RondoDox, dimostrando pazienza e maturità operativa da parte degli aggressori.
Sommario
React2Shell: il punto di ingresso critico
A dicembre 2025, i ricercatori hanno osservato la campagna che sfruttava React2Shell (CVE-2025-55182) come meccanismo di accesso iniziale primario. Questa vulnerabilità critica, con un punteggio CVSS di 10,0, colpisce le implementazioni di React Server Components (RSC) e Next.js. Se non corretta, consente l'esecuzione di codice remoto non autenticato, garantendo di fatto agli aggressori il pieno controllo sui sistemi esposti.
Esposizione su larga scala: impatto globale
I dati di telemetria raccolti fino alla fine di dicembre 2025 indicano che circa 90.300 istanze vulnerabili rimangono esposte in tutto il mondo. La maggior parte si trova negli Stati Uniti, con circa 68.400 sistemi. Altre regioni significativamente colpite includono la Germania con circa 4.300 istanze, la Francia con 2.800 e l'India con 1.500, a sottolineare la portata globale del problema.
RondoDox evolve il suo arsenale di exploit
Identificata per la prima volta all'inizio del 2025, RondoDox ha costantemente ampliato le sue capacità incorporando ulteriori vulnerabilità N-day nel suo toolkit di exploit. Tra queste, CVE-2023-1389 e CVE-2025-24893. Segnalazioni precedenti avevano già segnalato l'utilizzo di React2Shell da parte della botnet, evidenziando una tendenza alla rapida strumentalizzazione delle falle appena scoperte.
Tre fasi di escalation
Prima di trasformare CVE-2025-55182 in un'arma, la campagna RondoDox ha seguito un ciclo di escalation strutturato:
Marzo-aprile 2025 : ricognizione mirata abbinata a individuazione e test manuali delle vulnerabilità.
Aprile-giugno 2025 : indagine quotidiana su larga scala di piattaforme web comuni come WordPress, Drupal e Struts2, insieme all'hardware IoT, inclusi i router Wavlink.
Luglio-inizio dicembre 2025 : distribuzione oraria completamente automatizzata, progettata per la massima portata e persistenza.
Attacchi di dicembre: payload e persistenza
Durante l'attività osservata nel dicembre 2025, gli autori della minaccia hanno analizzato i server Next.js esposti e hanno tentato di distribuire diversi componenti dannosi, tra cui miner di criptovalute, un loader e un'utilità di controllo dello stato di salute per botnet e una variante di botnet basata su Mirai, progettata appositamente per sistemi x86.
Un componente chiave, "/nuts/bolts", svolge un ruolo difensivo per gli aggressori. Termina sistematicamente i malware e i miner di monete concorrenti prima di recuperare il binario primario del bot dalla sua infrastruttura di comando e controllo (C2). Una variante identificata pulisce in modo aggressivo gli host infetti rimuovendo tracce di botnet rivali, payload basati su Docker, residui di campagne precedenti e cron job associati, stabilendo contemporaneamente la persistenza attraverso modifiche a /etc/crontab.
Il malware rafforza ulteriormente l'esclusività scansionando continuamente il file system /proc per identificare gli eseguibili attivi, terminando tutti i processi non inclusi nella whitelist circa ogni 45 secondi. Questo comportamento blocca efficacemente i tentativi di reinfezione da parte di altri autori di minacce.
Riduzione del rischio e limitazione dell'esposizione
Per contrastare la minaccia rappresentata da RondoDox, i team di sicurezza dovrebbero adottare una strategia difensiva a più livelli:
- Aggiornare tempestivamente le distribuzioni di Next.js a versioni completamente corrette che risolvano CVE-2025-55182.
- Isolare i dispositivi IoT all'interno di VLAN dedicate per limitare i movimenti laterali.
- Implementare Web Application Firewall (WAF) e monitorare costantemente l'esecuzione anomala dei processi.
- Bloccare in modo proattivo l'infrastruttura di comando e controllo nota associata alla botnet.
Nel complesso, queste misure riducono significativamente la probabilità di compromissione e contribuiscono a contenere l'impatto dell'attività continua delle botnet.
