RondoDox Botnett
Kampanjer mot skadelig programvare som utnytter RondoDox-botnettet har dramatisk utvidet angrepsflaten sin, og er nå rettet mot over 50 sårbarheter på tvers av mer enn 30 leverandører. Sikkerhetseksperter beskriver denne tilnærmingen som en «utnyttelseshagle», noe som gjenspeiler den vilkårlige målretningen mot et bredt spekter av internett-eksponert infrastruktur. Berørte systemer inkluderer rutere, digitale videoopptakere (DVR-er), nettverksvideoopptakere (NVR-er), CCTV-systemer, webservere og en rekke andre nettverkstilkoblede enheter.
Innholdsfortegnelse
Tidlige inntrengninger og historisk kontekst
Den første bemerkelsesverdige RondoDox-aktiviteten ble observert i juli 2025, da forskere dokumenterte angrep på TBK DVR-er og Four-Faith-rutere. Disse enhetene ble innlemmet i et botnett designet for å utføre distribuerte tjenestenektangrep (DDoS) på tvers av HTTP-, UDP- og TCP-protokoller.
Et spesifikt inntrengningsforsøk ble oppdaget 15. juni 2025, rettet mot TP-Link Archer-rutere via CVE-2023-1389, en feil som har blitt utnyttet gjentatte ganger siden den ble avslørt sent i 2022. Disse hendelsene fremhever den pågående utviklingen av RondoDox fra opportunistiske angrep på én enhet til bredere, mer koordinerte kampanjer.
Utvidet distribusjon gjennom Loader-as-a-Service
RondoDox har nylig tatt i bruk en «loader-as-a-service»-modell (LaaS), der nyttelasten pakkes sammen med skadevare som Mirai og Morte. Denne taktikken lar angripere distribuere flere trusler samtidig, noe som kompliserer deteksjons- og utbedringsarbeidet.
Viktige kjennetegn ved denne utvidede kampanjen inkluderer:
- Bruk av svake legitimasjonsdetaljer, usaniserte inndata og eldre CVE-er for å kompromittere enheter
- Målretting av SOHO-rutere, IoT-enheter og bedriftsapplikasjoner
- Multivektorutnyttelse, som signaliserer et skifte fra opportunisme på én enhet til koordinert botnettutplassering
Bredt utnyttelsesarsenal
RondoDox benytter seg nå av nesten 56 sårbarheter, hvorav 18 fortsatt ikke har CVE-identifikatorer. Systemene som utnyttes spenner over et bredt spekter av leverandører, inkludert:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion og Cisco.
Dette voksende arsenalet demonstrerer botnettets økende sofistikasjon og dets evne til å utnytte både kjente og tidligere udokumenterte sårbarheter.
Implikasjoner for cybersikkerhet
De siste RondoDox-kampanjene representerer en betydelig utvikling innen automatisert nettverksutnyttelse. Ved å kombinere «loader-as-a-service»-operasjoner med et utvidet sett med utnyttelser, beveger angripere seg utover opportunistiske angrep på enkeltstående enheter og over til strategiske botnettoperasjoner med flere vektorer.
Sikkerhetsteam må være årvåkne, prioritere oppdateringer av kjente sårbarheter, overvåke mistenkelig nettverksaktivitet og implementere proaktive deteksjonsverktøy for å redusere risikoen som disse raskt utviklende truslene utgjør.
