Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Campanha de ataque IoT da botnet RondoDox

Campanha de ataque IoT da botnet RondoDox

Por Mezo em Redes de Bots
Traduzir Para:

Analistas de cibersegurança descobriram uma campanha altamente persistente, com duração aproximada de nove meses, que teve como alvo ativo dispositivos da Internet das Coisas (IoT) e aplicações web. O objetivo dessa operação era recrutar sistemas vulneráveis para uma botnet chamada RondoDox, demonstrando paciência e maturidade operacional por parte dos atacantes.

React2Shell: O Ponto de Entrada Crítico

Em dezembro de 2025, pesquisadores observaram a campanha explorando a vulnerabilidade React2Shell (CVE-2025-55182) como seu principal mecanismo de acesso inicial. Essa vulnerabilidade crítica, com pontuação CVSS de 10,0, afeta implementações do React Server Components (RSC) e do Next.js. Quando não corrigida, permite a execução remota de código sem autenticação, concedendo aos atacantes controle total sobre os sistemas expostos.

Exposição em grande escala: impacto global

Dados de telemetria coletados até o final de dezembro de 2025 indicam que aproximadamente 90.300 instâncias vulneráveis permanecem expostas em todo o mundo. A maioria está localizada nos Estados Unidos, representando cerca de 68.400 sistemas. Outras regiões significativamente afetadas incluem a Alemanha, com cerca de 4.300 instâncias, a França, com 2.800, e a Índia, com 1.500, o que ressalta o alcance global do problema.

RondoDox aprimora seu arsenal de exploits

Identificada pela primeira vez no início de 2025, a RondoDox expandiu continuamente suas capacidades, incorporando vulnerabilidades adicionais de dia N em seu conjunto de ferramentas de exploração. Entre elas, estão as CVE-2023-1389 e CVE-2025-24893. Relatórios anteriores já haviam alertado para o uso do React2Shell pela botnet, evidenciando uma tendência de rápida instrumentalização de falhas recém-descobertas.

Três fases de escalada

Antes de transformar a vulnerabilidade CVE-2025-55182 em arma, a campanha RondoDox progrediu por meio de um ciclo de escalada estruturado:

Março-abril de 2025 : Reconhecimento focado combinado com descoberta e teste manual de vulnerabilidades.

Abril–Junho de 2025 : Sondagem diária e em larga escala de plataformas web comuns, como WordPress, Drupal e Struts2, juntamente com hardware de IoT, incluindo roteadores Wavlink.

Julho a início de dezembro de 2025 : Implantação totalmente automatizada, com intervalos de uma hora, projetada para alcance e persistência máximos.

Ataques de dezembro: cargas úteis e persistência

Durante a atividade observada em dezembro de 2025, agentes maliciosos realizaram varreduras em busca de servidores Next.js expostos e tentaram implantar diversos componentes maliciosos. Entre eles, mineradores de criptomoedas, um carregador de botnet e um utilitário de verificação de integridade, além de uma variante de botnet baseada em Mirai, adaptada para sistemas x86.

Um componente chave, '/nuts/bolts', desempenha um papel defensivo para os atacantes. Ele encerra sistematicamente malwares e mineradores de criptomoedas concorrentes antes de recuperar o binário principal do bot de sua infraestrutura de comando e controle (C2). Uma variante identificada limpa agressivamente os hosts infectados, removendo vestígios de botnets rivais, payloads baseados em Docker, remanescentes de campanhas anteriores e tarefas cron associadas, enquanto simultaneamente estabelece persistência por meio de modificações em /etc/crontab.

O malware reforça ainda mais a exclusividade ao escanear continuamente o sistema de arquivos /proc para identificar executáveis ativos, encerrando quaisquer processos não permitidos a cada 45 segundos aproximadamente. Esse comportamento bloqueia efetivamente tentativas de reinfecção por outros agentes maliciosos.

Reduzindo o risco e limitando a exposição

Para combater a ameaça representada pelo RondoDox, as equipes de segurança devem adotar uma estratégia defensiva em camadas:

  • Atualize imediatamente as instalações do Next.js para versões totalmente corrigidas que solucionem a vulnerabilidade CVE-2025-55182.
  • Isole os dispositivos IoT em VLANs dedicadas para limitar a movimentação lateral.
  • Implemente firewalls de aplicações web (WAFs) e monitore continuamente a execução de processos anômalos.
  • Bloqueie proativamente a infraestrutura de comando e controle conhecida associada à botnet.

Em conjunto, essas medidas reduzem significativamente a probabilidade de comprometimento e ajudam a conter o impacto da atividade contínua das botnets.

Tendendo

Mais visto

Carregando...