Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Botnets RondoDox Botnet IoT-aanvalscampagne

RondoDox Botnet IoT-aanvalscampagne

Tegen Mezo in Botnets
Vertalen naar:

Cybersecurity-analisten hebben een zeer hardnekkige campagne ontdekt die ongeveer negen maanden heeft geduurd en zich actief richtte op IoT-apparaten en webapplicaties. Het doel van deze operatie was om kwetsbare systemen te rekruteren voor een botnet genaamd RondoDox, wat getuigt van zowel geduld als operationele volwassenheid van de aanvallers.

React2Shell: Het cruciale toegangspunt

In december 2025 constateerden onderzoekers dat de campagne React2Shell (CVE-2025-55182) misbruikte als primair toegangsmechanisme. Deze kritieke kwetsbaarheid, met een CVSS-score van 10.0, treft implementaties van React Server Components (RSC) en Next.js. Zonder patch maakt deze kwetsbaarheid het mogelijk om op afstand code uit te voeren zonder authenticatie, waardoor aanvallers in feite volledige controle krijgen over blootgestelde systemen.

Grootschalige blootstelling: wereldwijde impact

Uit telemetriegegevens die tot eind december 2025 zijn verzameld, blijkt dat er wereldwijd nog ongeveer 90.300 kwetsbare systemen actief zijn. De meeste bevinden zich in de Verenigde Staten, goed voor circa 68.400 systemen. Andere regio's die significant getroffen zijn, zijn Duitsland met ongeveer 4.300 systemen, Frankrijk met 2.800 en India met 1.500, wat de wereldwijde reikwijdte van het probleem onderstreept.

RondoDox ontwikkelt zijn Exploit Arsenal verder.

RondoDox, dat begin 2025 voor het eerst werd ontdekt, heeft zijn mogelijkheden gestaag uitgebreid door steeds meer N-day-kwetsbaarheden in zijn exploitatietoolkit op te nemen. Hieronder vallen CVE-2023-1389 en CVE-2025-24893. Eerdere rapporten waarschuwden al voor het gebruik van React2Shell door het botnet, wat wijst op een trend van snelle bewapening van nieuw ontdekte kwetsbaarheden.

Drie fasen van escalatie

Voordat CVE-2025-55182 als wapen werd ingezet, doorliep de RondoDox-campagne een gestructureerde escalatiecyclus:

Maart-april 2025 : Gerichte verkenning in combinatie met handmatige opsporing en testen van kwetsbaarheden.

April-juni 2025 : Dagelijkse, grootschalige tests van gangbare webplatformen zoals WordPress, Drupal en Struts2, in combinatie met IoT-hardware, waaronder Wavlink-routers.

Juli – begin december 2025 : Volledig geautomatiseerde, uurlijkse uitrol, ontworpen voor maximaal bereik en persistentie.

Decemberaanvallen: Payloads en persistentie

Tijdens de activiteiten die in december 2025 werden waargenomen, scanden cybercriminelen naar blootgestelde Next.js-servers en probeerden ze verschillende kwaadaardige componenten te implementeren. Deze omvatten cryptominers, een botnetlader en een hulpprogramma voor gezondheidscontroles, en een op Mirai gebaseerde botnetvariant die was aangepast voor x86-systemen.

Een belangrijk onderdeel, '/nuts/bolts', speelt een defensieve rol voor de aanvallers. Het beëindigt systematisch concurrerende malware en cryptominers voordat het het primaire bot-binair bestand ophaalt uit de command-and-control (C2) infrastructuur. Een geïdentificeerde variant reinigt geïnfecteerde hosts agressief door sporen van rivaliserende botnets, Docker-gebaseerde payloads, restanten van eerdere campagnes en bijbehorende cron-taken te verwijderen, terwijl tegelijkertijd persistentie wordt gecreëerd door wijzigingen in /etc/crontab.

De malware versterkt de exclusiviteit door continu het /proc-bestandssysteem te scannen op actieve uitvoerbare bestanden en alle processen die niet op de whitelist staan, ongeveer elke 45 seconden te beëindigen. Dit gedrag blokkeert effectief herinfectiepogingen door andere aanvallers.

Het risico verlagen en de blootstelling beperken.

Om de dreiging van RondoDox tegen te gaan, moeten beveiligingsteams een gelaagde verdedigingsstrategie hanteren:

  • Voer onmiddellijk een upgrade uit van Next.js-implementaties naar volledig gepatchte versies die CVE-2025-55182 verhelpen.
  • Isoleer IoT-apparaten in aparte VLAN's om laterale verspreiding te beperken.
  • Implementeer webapplicatiefirewalls (WAF's) en monitor continu op afwijkende procesuitvoering.
  • Blokkeer proactief de bekende command-and-control-infrastructuur die met het botnet in verband staat.

Al met al verkleinen deze maatregelen de kans op een inbreuk aanzienlijk en helpen ze de impact van aanhoudende botnetactiviteit te beperken.

Trending

Meest bekeken

Bezig met laden...