रोन्डोडक्स बोटनेट आईओटी आक्रमण अभियान
साइबर सुरक्षा विश्लेषकहरूले लगभग नौ महिनासम्म चल्ने अत्यधिक निरन्तर अभियान पत्ता लगाएका छन् जसले सक्रिय रूपमा इन्टरनेट अफ थिंग्स (IoT) उपकरणहरू र वेब अनुप्रयोगहरूलाई लक्षित गरेको छ। यस अपरेशनको उद्देश्य आक्रमणकारीहरूको धैर्यता र परिचालन परिपक्वता दुवै प्रदर्शन गर्दै, कमजोर प्रणालीहरूलाई रोन्डोडक्स भनिने बोटनेटमा भर्ना गर्नु रहेको छ।
सामग्रीको तालिका
React2Shell: महत्वपूर्ण प्रवेश बिन्दु
डिसेम्बर २०२५ सम्म, अनुसन्धानकर्ताहरूले अभियानलाई React2Shell (CVE-2025-55182) लाई यसको प्राथमिक प्रारम्भिक पहुँच संयन्त्रको रूपमा प्रयोग गरिरहेको अवलोकन गरे। १०.० को CVSS स्कोर बोकेको यो महत्वपूर्ण जोखिमले React Server Components (RSC) र Next.js कार्यान्वयनलाई असर गर्छ। अनप्याच गर्दा, यसले अप्रमाणित रिमोट कोड कार्यान्वयनलाई अनुमति दिन्छ, प्रभावकारी रूपमा आक्रमणकारीहरूलाई खुला प्रणालीहरूमा पूर्ण नियन्त्रण प्रदान गर्दछ।
स्केलमा एक्सपोजर: विश्वव्यापी प्रभाव
डिसेम्बर २०२५ को अन्त्यसम्म सङ्कलन गरिएको टेलिमेट्रीले विश्वव्यापी रूपमा लगभग ९०,३०० जोखिमपूर्ण केसहरू अझै पनि खुला रहेको देखाउँछ। धेरैजसो संयुक्त राज्य अमेरिकामा अवस्थित छन्, जसमा लगभग ६८,४०० प्रणालीहरू छन्। अन्य उल्लेखनीय रूपमा प्रभावित क्षेत्रहरूमा जर्मनीमा लगभग ४,३०० केसहरू, फ्रान्समा २,८०० केसहरू र भारतमा १,५०० केसहरू समावेश छन्, जसले यस मुद्दाको विश्वव्यापी पहुँचलाई जोड दिन्छ।
रोन्डोडक्सले आफ्नो एक्सप्लोइट आर्सेनलको विकास गर्छ
२०२५ को सुरुमा पहिलो पटक पहिचान गरिएको, रोन्डोडक्सले आफ्नो शोषण टुलकिटमा थप N-day कमजोरीहरू समावेश गरेर आफ्नो क्षमताहरू निरन्तर विस्तार गरेको छ। यसमा CVE-2023-1389 र CVE-2025-24893 समावेश छन्। पहिलेको रिपोर्टिङले बोटनेटको React2Shell को प्रयोगको बारेमा पहिले नै चेतावनी दिएको थियो, जसले नयाँ खुलासा गरिएका त्रुटिहरूको द्रुत हतियारीकरणको प्रवृत्तिलाई हाइलाइट गर्यो।
वृद्धिका तीन चरणहरू
CVE-2025-55182 लाई हतियार बनाउनु अघि, RondoDox अभियान एक संरचित वृद्धि चक्र मार्फत अगाडि बढ्यो:
मार्च–अप्रिल २०२५ : केन्द्रित जासूसी म्यानुअल जोखिम खोज र परीक्षणसँग जोडियो।
अप्रिल-जुन २०२५ : WordPress, Drupal, र Struts2 जस्ता सामान्य वेब प्लेटफर्महरूको दैनिक, ठूलो मात्रामा अनुसन्धान, IoT हार्डवेयरको साथसाथै Wavlink राउटरहरू पनि।
जुलाई–डिसेम्बर २०२५ को सुरुवात : अधिकतम पहुँच र दृढताको लागि डिजाइन गरिएको पूर्ण स्वचालित, प्रति घण्टा तैनाती।
डिसेम्बर आक्रमणहरू: पेलोड र दृढता
डिसेम्बर २०२५ मा अवलोकन गरिएको गतिविधिको क्रममा, खतरा अभिनेताहरूले खुला Next.js सर्भरहरूको लागि स्क्यान गरे र धेरै दुर्भावनापूर्ण कम्पोनेन्टहरू तैनाथ गर्ने प्रयास गरे। यसमा क्रिप्टोकरेन्सी माइनरहरू, बोटनेट लोडर र स्वास्थ्य-जाँच उपयोगिता, र x86 प्रणालीहरूको लागि तयार पारिएको मिराई-आधारित बोटनेट संस्करण समावेश थियो।
एउटा प्रमुख घटक, '/nuts/bolts' ले आक्रमणकारीहरूको लागि रक्षात्मक भूमिका खेल्छ। यसले यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधारबाट प्राथमिक बट बाइनरी पुन: प्राप्त गर्नु अघि प्रतिस्पर्धी मालवेयर र सिक्का खानीहरूलाई व्यवस्थित रूपमा समाप्त गर्दछ। एउटा पहिचान गरिएको भेरियन्टले प्रतिद्वन्द्वी बोटनेटहरू, डकर-आधारित पेलोडहरू, पहिलेका अभियानहरूको अवशेषहरू, र सम्बन्धित क्रोन कार्यहरूको ट्रेसहरू हटाएर संक्रमित होस्टहरूलाई आक्रामक रूपमा सफा गर्छ, जबकि एकै साथ /etc/crontab मा परिमार्जनहरू मार्फत दृढता स्थापित गर्दछ।
मालवेयरले सक्रिय कार्यान्वयनयोग्यहरू पहिचान गर्न /proc फाइल प्रणालीलाई निरन्तर स्क्यान गरेर, लगभग हरेक ४५ सेकेन्डमा कुनै पनि गैर-श्वेतसूचीबद्ध प्रक्रियाहरू समाप्त गरेर विशेषतालाई थप बलियो बनाउँछ। यो व्यवहारले अन्य खतरा कारकहरूद्वारा पुन: संक्रमण प्रयासहरूलाई प्रभावकारी रूपमा रोक्छ।
जोखिम घटाउने र एक्सपोजर सीमित गर्ने
रोन्डोडक्सले निम्त्याएको खतराको सामना गर्न, सुरक्षा टोलीहरूले तहगत रक्षात्मक रणनीति अपनाउनु पर्छ:
- तुरुन्तै Next.js डिप्लोयमेन्टहरूलाई CVE-2025-55182 लाई सम्बोधन गर्ने पूर्ण रूपमा प्याच गरिएका संस्करणहरूमा स्तरोन्नति गर्नुहोस्।
- पार्श्व चाललाई सीमित गर्न समर्पित VLAN भित्र IoT उपकरणहरूलाई अलग गर्नुहोस्।
- वेब एप्लिकेसन फायरवालहरू (WAFs) लागू गर्नुहोस् र असामान्य प्रक्रिया कार्यान्वयनको लागि निरन्तर निगरानी गर्नुहोस्।
- बोटनेटसँग सम्बन्धित ज्ञात कमाण्ड-एन्ड-नियन्त्रण पूर्वाधारलाई सक्रिय रूपमा रोक्नुहोस्।
एकसाथ लिँदा, यी उपायहरूले सम्झौताको सम्भावनालाई उल्लेखनीय रूपमा कम गर्छ र चलिरहेको बोटनेट गतिविधिको प्रभावलाई नियन्त्रण गर्न मद्दत गर्छ।
