Kampaň útoku na botnet v rámci RondoDoxu
Analytici kybernetickej bezpečnosti odhalili vysoko pretrvávajúcu kampaň trvajúcu približne deväť mesiacov, ktorá aktívne zacielila na zariadenia internetu vecí (IoT) a webové aplikácie. Cieľom tejto operácie bolo zapojiť zraniteľné systémy do botnetu s názvom RondoDox, čím sa preukázala trpezlivosť aj operačná zrelosť zo strany útočníkov.
Obsah
React2Shell: Kritický vstupný bod
V decembri 2025 výskumníci pozorovali kampaň využívajúcu React2Shell (CVE-2025-55182) ako svoj primárny mechanizmus počiatočného prístupu. Táto kritická zraniteľnosť so skóre CVSS 10,0 ovplyvňuje implementácie komponentov React Server (RSC) a Next.js. Po odinštalovaní umožňuje neoverené vzdialené spustenie kódu, čím útočníkom efektívne poskytuje plnú kontrolu nad exponovanými systémami.
Expozícia vo veľkom meradle: Globálny dopad
Telemetria zozbieraná do konca decembra 2025 naznačuje, že na celom svete je stále vystavených približne 90 300 zraniteľných inštancií. Väčšina sa nachádza v Spojených štátoch, čo predstavuje približne 68 400 systémov. Medzi ďalšie významne postihnuté regióny patrí Nemecko s približne 4 300 inštanciami, Francúzsko s 2 800 a India s 1 500, čo zdôrazňuje globálny dosah problému.
RondoDox vyvíja svoj arzenál exploitov
RondoDox, ktorý bol prvýkrát identifikovaný začiatkom roka 2025, postupne rozširuje svoje možnosti začlenením ďalších zraniteľností typu N-day do svojho súboru nástrojov na zneužívanie. Patria sem CVE-2023-1389 a CVE-2025-24893. Predchádzajúce správy už varovali pred používaním React2Shell botnetmi, čo zdôrazňovalo trend rýchlej zneužívania novo odhalených chýb ako zbraní.
Tri fázy eskalácie
Predtým, ako sa útok CVE-2025-55182 stal zbraňou, kampaň RondoDox prešla štruktúrovaným eskalačnými cyklami:
Marec – apríl 2025 : Cielený prieskum spojený s manuálnym odhaľovaním a testovaním zraniteľností.
Apríl – jún 2025 : Denné rozsiahle testovanie bežných webových platforiem, ako sú WordPress, Drupal a Struts2, spolu s hardvérom IoT vrátane routerov Wavlink.
Júl – začiatok decembra 2025 : Plne automatizované, hodinové nasadenie navrhnuté pre maximálny dosah a trvalosť.
Decembrové útoky: Užitočné zaťaženie a vytrvalosť
Počas aktivity pozorovanej v decembri 2025 útočníci skenovali odhalené servery Next.js a pokúsili sa nasadiť viacero škodlivých komponentov. Patrili medzi ne ťažiari kryptomien, zavádzač a kontrolný nástroj botnetu a variant botnetu založený na platforme Mirai, prispôsobený pre systémy x86.
Kľúčový komponent s názvom „/nuts/bolts“ zohráva pre útočníkov obrannú úlohu. Systematicky ukončuje konkurenčný malvér a ťažiare mincí predtým, ako zo svojej infraštruktúry velenia a riadenia (C2) získa primárny binárny súbor bota. Jeden identifikovaný variant agresívne čistí infikované hostiteľské systémy odstraňovaním stôp konkurenčných botnetov, dátových zaťažení založených na Dockeri, zvyškov predchádzajúcich kampaní a súvisiacich úloh cron, pričom súčasne zabezpečuje perzistenciu prostredníctvom úprav súboru /etc/crontab.
Malvér ďalej vynucuje exkluzivitu neustálym skenovaním súborového systému /proc s cieľom identifikovať aktívne spustiteľné súbory a približne každých 45 sekúnd ukončuje všetky procesy, ktoré nie sú na bielej listine. Toto správanie účinne blokuje pokusy o opätovnú infekciu zo strany iných aktérov hrozby.
Zníženie rizika a obmedzenie expozície
Aby sa bezpečnostné tímy vyrovnali s hrozbou, ktorú predstavuje RondoDox, mali by prijať viacvrstvovú obrannú stratégiu:
- Okamžite aktualizujte nasadenia Next.js na plne opravené verzie, ktoré riešia chybu CVE-2025-55182.
- Izolujte zariadenia IoT v rámci vyhradených sietí VLAN, aby ste obmedzili ich laterálny pohyb.
- Implementujte webové aplikačné firewally (WAF) a priebežne monitorujte anomálne vykonávanie procesov.
- Proaktívne blokujte známu infraštruktúru velenia a riadenia spojenú s botnetom.
Tieto opatrenia spoločne výrazne znižujú pravdepodobnosť kompromitácie a pomáhajú obmedziť dopad prebiehajúcej aktivity botnetov.
