RondoDox-botnet
Malwarecampagnes die gebruikmaken van het RondoDox-botnet hebben hun aanvalsoppervlak drastisch vergroot en richten zich nu op meer dan 50 kwetsbaarheden bij meer dan 30 leveranciers. Beveiligingsexperts beschrijven deze aanpak als een 'exploit shotgun', een weerspiegeling van de willekeurige aanval op een breed scala aan aan het internet blootgestelde infrastructuren. Getroffen systemen zijn onder andere routers, digitale videorecorders (DVR's), netwerkvideorecorders (NVR's), CCTV-systemen, webservers en talloze andere netwerkapparaten.
Inhoudsopgave
Vroege indringers en historische context
De eerste opvallende RondoDox-activiteit werd waargenomen in juli 2025, toen onderzoekers aanvallen op TBK DVR's en Four-Faith-routers documenteerden. Deze apparaten werden opgenomen in een botnet dat was ontworpen om DDoS-aanvallen (Distributed Denial-of-Service) uit te voeren via HTTP-, UDP- en TCP-protocollen.
Op 15 juni 2025 werd een specifieke inbraakpoging gedetecteerd, gericht op TP-Link Archer-routers via CVE-2023-1389, een fout die sinds de bekendmaking eind 2022 herhaaldelijk is uitgebuit. Deze incidenten onderstrepen de voortdurende evolutie van RondoDox van opportunistische aanvallen op één apparaat naar bredere, meer gecoördineerde campagnes.
Uitgebreide distributie via Loader-as-a-Service
RondoDox heeft onlangs een loader-as-a-service (LaaS)-model geïmplementeerd, waarbij de payload wordt gebundeld met Mirai- en Morte-malware. Deze tactiek stelt aanvallers in staat om meerdere bedreigingen tegelijk te verspreiden, wat detectie en herstel bemoeilijkt.
Belangrijke kenmerken van deze uitgebreide campagne zijn:
- Gebruik van zwakke inloggegevens, niet-gezuiverde invoer en verouderde CVE's om apparaten te compromitteren
- Targeting van SOHO-routers, IoT-apparaten en bedrijfsapplicaties
- Exploitatie van meerdere vectoren, wat wijst op een verschuiving van opportunisme op één apparaat naar gecoördineerde botnet-inzet
Breed Exploit Arsenal
RondoDox maakt nu gebruik van bijna 56 kwetsbaarheden, waarvan er 18 nog steeds geen CVE-identifiers hebben. De geëxploiteerde systemen zijn afkomstig van een breed scala aan leveranciers, waaronder:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion en Cisco.
Dit groeiende arsenaal laat zien hoe geavanceerd het botnet wordt en hoe het zowel bekende als voorheen niet-gedocumenteerde kwetsbaarheden kan misbruiken.
Implicaties voor cyberbeveiliging
De nieuwste RondoDox-campagnes vertegenwoordigen een significante evolutie in geautomatiseerde netwerkexploitatie. Door loader-as-a-service-operaties te combineren met een uitgebreide exploit-set, gaan aanvallers verder dan opportunistische aanvallen op afzonderlijke apparaten en richten ze zich op strategische, multi-vector botnet-operaties.
Beveiligingsteams moeten waakzaam blijven en prioriteit geven aan het oplossen van bekende kwetsbaarheden, het controleren op verdachte netwerkactiviteiten en het implementeren van proactieve detectietools om de risico's van deze snel evoluerende bedreigingen te beperken.
