RondoDox Botnet IoT-angrepskampanje
Nettsikkerhetsanalytikere har avdekket en svært vedvarende kampanje som har vart i omtrent ni måneder og som aktivt har rettet seg mot enheter og webapplikasjoner knyttet til tingenes internett (IoT). Målet med denne operasjonen har vært å samle sårbare systemer i et botnett kalt RondoDox, noe som demonstrerer både tålmodighet og operasjonell modenhet fra angripernes side.
Innholdsfortegnelse
React2Shell: Det kritiske inngangspunktet
Per desember 2025 observerte forskere at kampanjen utnyttet React2Shell (CVE-2025-55182) som sin primære initiale tilgangsmekanisme. Denne kritiske sårbarheten, med en CVSS-poengsum på 10,0, påvirker implementeringer av React Server Components (RSC) og Next.js. Når den ikke er oppdatert, tillater den uautorisert ekstern kjøring av kode, noe som effektivt gir angripere full kontroll over eksponerte systemer.
Eksponering i stor skala: Global innvirkning
Telemetri innsamlet frem til slutten av desember 2025 indikerer at omtrent 90 300 sårbare tilfeller fortsatt er eksponert over hele verden. De fleste befinner seg i USA, og står for omtrent 68 400 systemer. Andre betydelig berørte regioner inkluderer Tyskland med omtrent 4300 tilfeller, Frankrike med 2800 og India med 1500, noe som understreker problemets globale rekkevidde.
RondoDox utvikler sitt utnyttelsesarsenal
RondoDox, som først ble identifisert tidlig i 2025, har jevnt og trutt utvidet sine muligheter ved å innlemme ytterligere N-dagers sårbarheter i sitt utnyttelsesverktøysett. Disse inkluderer CVE-2023-1389 og CVE-2025-24893. Tidligere rapporter hadde allerede advart om botnettets bruk av React2Shell, noe som fremhevet en trend med rask våpenbruk av nylig avslørte feil.
Tre faser av eskalering
Før RondoDox-kampanjen ble gjort til et våpen for CVE-2025-55182, gikk den gjennom en strukturert eskaleringssyklus:
Mars–april 2025 : Fokusert rekognosering kombinert med manuell oppdagelse og testing av sårbarheter.
April–juni 2025 : Daglig, storstilt undersøkelse av vanlige nettplattformer som WordPress, Drupal og Struts2, i tillegg til IoT-maskinvare, inkludert Wavlink-rutere.
Juli–tidlig desember 2025 : Helautomatisk, timebasert utrulling designet for maksimal rekkevidde og varighet.
Desemberangrep: Nyttelast og utholdenhet
Under aktiviteten som ble observert i desember 2025, skannet trusselaktører etter eksponerte Next.js-servere og forsøkte å distribuere flere skadelige komponenter. Disse inkluderte kryptovaluta-minere, en botnettlaster og et helsesjekkverktøy, og en Mirai-basert botnettvariant skreddersydd for x86-systemer.
En nøkkelkomponent, «/nuts/bolts», spiller en defensiv rolle for angriperne. Den avslutter systematisk konkurrerende skadevare og myntutvinnere før den henter den primære botbinærfilen fra kommando-og-kontroll-infrastrukturen (C2). Én identifisert variant renser aggressivt infiserte verter ved å fjerne spor av rivaliserende botnett, Docker-baserte nyttelaster, rester av tidligere kampanjer og tilhørende cron-jobber, samtidig som den etablerer persistens gjennom modifikasjoner i /etc/crontab.
Skadevaren håndhever ytterligere eksklusivitet ved kontinuerlig å skanne /proc-filsystemet for å identifisere aktive kjørbare filer, og avslutte eventuelle prosesser som ikke er hvitelistet omtrent hvert 45. sekund. Denne oppførselen blokkerer effektivt reinfeksjonsforsøk fra andre trusselaktører.
Redusere risiko og begrense eksponering
For å motvirke trusselen fra RondoDox, bør sikkerhetsteam ta i bruk en lagdelt defensiv strategi:
- Oppgrader Next.js-distribusjoner raskt til fullstendig oppdaterte versjoner som adresserer CVE-2025-55182.
- Isoler IoT-enheter innenfor dedikerte VLAN-er for å begrense sideveis bevegelse.
- Implementer webapplikasjonsbrannmurer (WAF-er) og overvåk kontinuerlig for unormal prosessutførelse.
- Blokker proaktivt kjent kommando- og kontrollinfrastruktur tilknyttet botnettet.
Samlet sett reduserer disse tiltakene sannsynligheten for kompromittering betydelig og bidrar til å begrense virkningen av pågående botnettaktivitet.
