ਰੋਂਡੋਡੌਕਸ ਬੋਟਨੈੱਟ ਆਈਓਟੀ ਹਮਲਾ ਮੁਹਿੰਮ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਲਗਭਗ ਨੌਂ ਮਹੀਨਿਆਂ ਤੱਕ ਚੱਲਣ ਵਾਲੀ ਇੱਕ ਬਹੁਤ ਹੀ ਨਿਰੰਤਰ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜਿਸਨੇ ਇੰਟਰਨੈੱਟ ਆਫ਼ ਥਿੰਗਜ਼ (IoT) ਡਿਵਾਈਸਾਂ ਅਤੇ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ। ਇਸ ਕਾਰਵਾਈ ਦਾ ਉਦੇਸ਼ ਕਮਜ਼ੋਰ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਰੋਂਡੋਡੌਕਸ ਨਾਮਕ ਇੱਕ ਬੋਟਨੈੱਟ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨਾ ਹੈ, ਜੋ ਹਮਲਾਵਰਾਂ ਦੇ ਸਬਰ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਪਰਿਪੱਕਤਾ ਦੋਵਾਂ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ।

React2Shell: ਮਹੱਤਵਪੂਰਨ ਪ੍ਰਵੇਸ਼ ਬਿੰਦੂ

ਦਸੰਬਰ 2025 ਤੱਕ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੇਖਿਆ ਕਿ ਮੁਹਿੰਮ React2Shell (CVE-2025-55182) ਨੂੰ ਇਸਦੇ ਪ੍ਰਾਇਮਰੀ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵਿਧੀ ਵਜੋਂ ਵਰਤ ਰਹੀ ਹੈ। ਇਹ ਮਹੱਤਵਪੂਰਨ ਕਮਜ਼ੋਰੀ, ਜਿਸ ਦਾ CVSS ਸਕੋਰ 10.0 ਹੈ, React Server Components (RSC) ਅਤੇ Next.js ਲਾਗੂਕਰਨਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ। ਜਦੋਂ ਅਣਪੈਚ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਅਣਪ੍ਰਮਾਣਿਤ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਐਕਸਪੋਜ਼ਡ ਸਿਸਟਮਾਂ 'ਤੇ ਪੂਰਾ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

ਪੈਮਾਨੇ 'ਤੇ ਐਕਸਪੋਜ਼ਰ: ਗਲੋਬਲ ਪ੍ਰਭਾਵ

ਦਸੰਬਰ 2025 ਦੇ ਅਖੀਰ ਤੱਕ ਇਕੱਠੀ ਕੀਤੀ ਗਈ ਟੈਲੀਮੈਟਰੀ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਲਗਭਗ 90,300 ਕਮਜ਼ੋਰ ਮਾਮਲੇ ਅਜੇ ਵੀ ਸਾਹਮਣੇ ਆਏ ਹਨ। ਜ਼ਿਆਦਾਤਰ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵਿੱਚ ਸਥਿਤ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਲਗਭਗ 68,400 ਪ੍ਰਣਾਲੀਆਂ ਹਨ। ਹੋਰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਪ੍ਰਭਾਵਿਤ ਖੇਤਰਾਂ ਵਿੱਚ ਜਰਮਨੀ ਵਿੱਚ ਲਗਭਗ 4,300 ਮਾਮਲੇ, ਫਰਾਂਸ ਵਿੱਚ 2,800 ਅਤੇ ਭਾਰਤ ਵਿੱਚ 1,500 ਮਾਮਲੇ ਸ਼ਾਮਲ ਹਨ, ਜੋ ਇਸ ਮੁੱਦੇ ਦੀ ਵਿਸ਼ਵਵਿਆਪੀ ਪਹੁੰਚ ਨੂੰ ਉਜਾਗਰ ਕਰਦੇ ਹਨ।

ਰੋਂਡੋਡੌਕਸ ਆਪਣੇ ਐਕਸਪਲੋਇਟ ਆਰਸਨਲ ਨੂੰ ਵਿਕਸਤ ਕਰਦਾ ਹੈ

2025 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਪਹਿਲੀ ਵਾਰ ਪਛਾਣੇ ਗਏ, RondoDox ਨੇ ਆਪਣੇ ਸ਼ੋਸ਼ਣ ਟੂਲਕਿੱਟ ਵਿੱਚ ਵਾਧੂ N-day ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਕੇ ਆਪਣੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦਾ ਲਗਾਤਾਰ ਵਿਸਤਾਰ ਕੀਤਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚ CVE-2023-1389 ਅਤੇ CVE-2025-24893 ਸ਼ਾਮਲ ਹਨ। ਪਹਿਲਾਂ ਦੀ ਰਿਪੋਰਟਿੰਗ ਵਿੱਚ ਬੋਟਨੈੱਟ ਦੁਆਰਾ React2Shell ਦੀ ਵਰਤੋਂ ਬਾਰੇ ਪਹਿਲਾਂ ਹੀ ਚੇਤਾਵਨੀ ਦਿੱਤੀ ਗਈ ਸੀ, ਜਿਸ ਵਿੱਚ ਨਵੀਆਂ ਪ੍ਰਗਟ ਕੀਤੀਆਂ ਗਈਆਂ ਖਾਮੀਆਂ ਦੇ ਤੇਜ਼ੀ ਨਾਲ ਹਥਿਆਰ ਬਣਾਉਣ ਦੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕੀਤਾ ਗਿਆ ਸੀ।

ਵਾਧਾ ਦੇ ਤਿੰਨ ਪੜਾਅ

CVE-2025-55182 ਨੂੰ ਹਥਿਆਰ ਬਣਾਉਣ ਤੋਂ ਪਹਿਲਾਂ, RondoDox ਮੁਹਿੰਮ ਇੱਕ ਢਾਂਚਾਗਤ ਵਾਧੇ ਚੱਕਰ ਵਿੱਚੋਂ ਅੱਗੇ ਵਧੀ:

ਮਾਰਚ-ਅਪ੍ਰੈਲ 2025 : ਫੋਕਸਡ ਰਿਕਨਾਈਸੈਂਸ ਨੂੰ ਮੈਨੂਅਲ ਕਮਜ਼ੋਰੀ ਖੋਜ ਅਤੇ ਟੈਸਟਿੰਗ ਦੇ ਨਾਲ ਜੋੜਿਆ ਗਿਆ।

ਅਪ੍ਰੈਲ-ਜੂਨ 2025 : Wavlink ਰਾਊਟਰਾਂ ਸਮੇਤ IoT ਹਾਰਡਵੇਅਰ ਦੇ ਨਾਲ-ਨਾਲ, ਵਰਡਪ੍ਰੈਸ, ਡਰੂਪਲ, ਅਤੇ ਸਟ੍ਰਟਸ2 ਵਰਗੇ ਆਮ ਵੈੱਬ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਰੋਜ਼ਾਨਾ, ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਜਾਂਚ।

ਜੁਲਾਈ-ਦਸੰਬਰ 2025 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ : ਪੂਰੀ ਤਰ੍ਹਾਂ ਸਵੈਚਾਲਿਤ, ਘੰਟੇਵਾਰ ਤੈਨਾਤੀ ਜੋ ਵੱਧ ਤੋਂ ਵੱਧ ਪਹੁੰਚ ਅਤੇ ਸਥਿਰਤਾ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ।

ਦਸੰਬਰ ਹਮਲੇ: ਪੇਲੋਡ ਅਤੇ ਦ੍ਰਿੜਤਾ

ਦਸੰਬਰ 2025 ਵਿੱਚ ਦੇਖੀ ਗਈ ਗਤੀਵਿਧੀ ਦੌਰਾਨ, ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ ਨੈਕਸਟ.ਜੇਐਸ ਸਰਵਰਾਂ ਨੂੰ ਸਕੈਨ ਕੀਤਾ ਅਤੇ ਕਈ ਖਤਰਨਾਕ ਹਿੱਸਿਆਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ। ਇਹਨਾਂ ਵਿੱਚ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਰ, ਇੱਕ ਬੋਟਨੈੱਟ ਲੋਡਰ ਅਤੇ ਸਿਹਤ-ਜਾਂਚ ਉਪਯੋਗਤਾ, ਅਤੇ x86 ਸਿਸਟਮਾਂ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਇੱਕ ਮੀਰਾਈ-ਅਧਾਰਤ ਬੋਟਨੈੱਟ ਵੇਰੀਐਂਟ ਸ਼ਾਮਲ ਸਨ।

ਇੱਕ ਮੁੱਖ ਹਿੱਸਾ, '/nuts/bolts', ਹਮਲਾਵਰਾਂ ਲਈ ਇੱਕ ਰੱਖਿਆਤਮਕ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦਾ ਹੈ। ਇਹ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੋਂ ਪ੍ਰਾਇਮਰੀ ਬੋਟ ਬਾਈਨਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਮੁਕਾਬਲੇਬਾਜ਼ ਮਾਲਵੇਅਰ ਅਤੇ ਸਿੱਕਾ ਮਾਈਨਰ ਨੂੰ ਯੋਜਨਾਬੱਧ ਢੰਗ ਨਾਲ ਖਤਮ ਕਰਦਾ ਹੈ। ਇੱਕ ਪਛਾਣਿਆ ਗਿਆ ਰੂਪ ਵਿਰੋਧੀ ਬੋਟਨੈੱਟ, ਡੌਕਰ-ਅਧਾਰਿਤ ਪੇਲੋਡ, ਪਹਿਲਾਂ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਦੇ ਬਚੇ ਹੋਏ ਹਿੱਸੇ, ਅਤੇ ਸੰਬੰਧਿਤ ਕਰੋਨ ਨੌਕਰੀਆਂ ਦੇ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਹਟਾ ਕੇ ਸੰਕਰਮਿਤ ਹੋਸਟਾਂ ਨੂੰ ਹਮਲਾਵਰ ਢੰਗ ਨਾਲ ਸਾਫ਼ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਨਾਲ ਹੀ /etc/crontab ਵਿੱਚ ਸੋਧਾਂ ਰਾਹੀਂ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ ਸਰਗਰਮ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ /proc ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ਲਗਾਤਾਰ ਸਕੈਨ ਕਰਕੇ, ਲਗਭਗ ਹਰ 45 ਸਕਿੰਟਾਂ ਵਿੱਚ ਕਿਸੇ ਵੀ ਗੈਰ-ਵਾਈਟਲਿਸਟ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖਤਮ ਕਰਕੇ ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਹੋਰ ਵੀ ਲਾਗੂ ਕਰਦਾ ਹੈ। ਇਹ ਵਿਵਹਾਰ ਦੂਜੇ ਖ਼ਤਰੇ ਵਾਲੇ ਕਾਰਕਾਂ ਦੁਆਰਾ ਦੁਬਾਰਾ ਸੰਕਰਮਣ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਰੋਕਦਾ ਹੈ।

ਜੋਖਮ ਘਟਾਉਣਾ ਅਤੇ ਐਕਸਪੋਜਰ ਨੂੰ ਸੀਮਤ ਕਰਨਾ

ਰੋਂਡੋਡੌਕਸ ਦੁਆਰਾ ਪੈਦਾ ਕੀਤੇ ਗਏ ਖ਼ਤਰੇ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ, ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਇੱਕ ਪੱਧਰੀ ਰੱਖਿਆਤਮਕ ਰਣਨੀਤੀ ਅਪਣਾਉਣੀ ਚਾਹੀਦੀ ਹੈ:

• Next.js ਡਿਪਲਾਇਮੈਂਟਾਂ ਨੂੰ CVE-2025-55182 ਨੂੰ ਸੰਬੋਧਿਤ ਕਰਦੇ ਹੋਏ ਪੂਰੀ ਤਰ੍ਹਾਂ ਪੈਚ ਕੀਤੇ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਤੁਰੰਤ ਅੱਪਗ੍ਰੇਡ ਕਰੋ।
• ਪਾਸੇ ਦੀ ਗਤੀ ਨੂੰ ਸੀਮਤ ਕਰਨ ਲਈ ਸਮਰਪਿਤ VLAN ਦੇ ਅੰਦਰ IoT ਡਿਵਾਈਸਾਂ ਨੂੰ ਅਲੱਗ ਕਰੋ।
• ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਫਾਇਰਵਾਲ (WAFs) ਲਾਗੂ ਕਰੋ ਅਤੇ ਅਸਧਾਰਨ ਪ੍ਰਕਿਰਿਆ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਕਰੋ।
• ਬੋਟਨੈੱਟ ਨਾਲ ਜੁੜੇ ਜਾਣੇ-ਪਛਾਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਕਿਰਿਆਸ਼ੀਲ ਤੌਰ 'ਤੇ ਬਲੌਕ ਕਰੋ।

ਇਕੱਠੇ ਕੀਤੇ ਜਾਣ 'ਤੇ, ਇਹ ਉਪਾਅ ਸਮਝੌਤਾ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਕਾਫ਼ੀ ਹੱਦ ਤੱਕ ਘਟਾਉਂਦੇ ਹਨ ਅਤੇ ਚੱਲ ਰਹੀ ਬੋਟਨੈੱਟ ਗਤੀਵਿਧੀ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਰੋਕਣ ਵਿੱਚ ਮਦਦ ਕਰਦੇ ਹਨ।