Botnet-ul RondoDox
Campaniile de malware care valorifică botnet-ul RondoDox și-au extins dramatic suprafața de atac, vizând acum peste 50 de vulnerabilități la peste 30 de furnizori. Experții în securitate descriu această abordare drept o „pușcă de exploatare”, reflectând direcționarea nediscriminatorie a unei game largi de infrastructură expusă la internet. Sistemele afectate includ routere, înregistratoare video digitale (DVR-uri), înregistratoare video de rețea (NVR-uri), sisteme CCTV, servere web și numeroase alte dispozitive conectate la rețea.
Cuprins
Intruziuni timpurii și context istoric
Prima activitate RondoDox notabilă a fost observată în iulie 2025, când cercetătorii au documentat atacuri asupra DVR-urilor TBK și routerelor Four-Faith. Aceste dispozitive erau înrolate într-o rețea de bot-uri concepută pentru a efectua atacuri distribuite de tip denial-of-service (DDoS) prin protocoalele HTTP, UDP și TCP.
O tentativă specifică de intruziune a fost detectată pe 15 iunie 2025, vizând routerele TP-Link Archer prin intermediul CVE-2023-1389, o eroare exploatată în mod repetat de la dezvăluirea sa la sfârșitul anului 2022. Aceste incidente evidențiază evoluția continuă a RondoDox de la atacuri oportuniste pe un singur dispozitiv la campanii mai ample și mai coordonate.
Distribuție extinsă prin intermediul serviciului Loader-as-a-Service
RondoDox a adoptat recent un model de tip „loader-as-a-service” (LaaS), împachetând sarcina utilă alături de programele malware Mirai și Morte. Această tactică permite atacatorilor să distribuie mai multe amenințări simultan, complicând eforturile de detectare și remediere.
Caracteristicile cheie ale acestei campanii extinse includ:
- Utilizarea unor acreditări slabe, a unor intrări nesanitizate și a unor CVE-uri vechi pentru a compromite dispozitivele
- Direcționarea routerelor SOHO, a dispozitivelor IoT și a aplicațiilor enterprise
- Exploatarea multi-vector, semnalând o trecere de la oportunismul pe un singur dispozitiv la implementarea coordonată a botnet-urilor
Arsenalul de Exploatare Amplu
RondoDox folosește acum aproape 56 de vulnerabilități, dintre care 18 rămân fără identificatori CVE. Sistemele exploatate acoperă o gamă largă de furnizori, inclusiv:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion și Cisco.
Acest arsenal în creștere demonstrează sofisticarea tot mai mare a botnet-ului și capacitatea sa de a exploata atât vulnerabilități bine-cunoscute, cât și vulnerabilități nedocumentate anterior.
Implicații pentru cibersecuritatea
Cele mai recente campanii RondoDox reprezintă o evoluție semnificativă în exploatarea automată a rețelelor. Prin combinarea operațiunilor de tip loader-as-a-service cu un set extins de exploit-uri, atacatorii trec dincolo de atacurile oportuniste pe dispozitive individuale către operațiuni strategice, multi-vector, de tip botnet.
Echipele de securitate trebuie să rămână vigilente, prioritizând remedierea vulnerabilităților cunoscute, monitorizând activitatea suspectă în rețea și implementând instrumente de detectare proactivă pentru a atenua riscul reprezentat de aceste amenințări în rapidă evoluție.
