Kampanja napada na internet stvari v botnetu RondoDox
Analitiki kibernetske varnosti so odkrili zelo vztrajno kampanjo, ki je trajala približno devet mesecev in je aktivno ciljala na naprave interneta stvari (IoT) in spletne aplikacije. Cilj te operacije je bil združiti ranljive sisteme v botnet, imenovan RondoDox, kar je s strani napadalcev pokazalo tako potrpežljivost kot operativno zrelost.
Kazalo
React2Shell: Kritična vstopna točka
Raziskovalci so decembra 2025 opazili kampanjo, ki je izkoriščala React2Shell (CVE-2025-55182) kot primarni mehanizem za začetni dostop. Ta kritična ranljivost z oceno CVSS 10,0 vpliva na implementacije komponent React Server (RSC) in Next.js. Ko ni popravljena, omogoča nepreverjeno oddaljeno izvajanje kode, kar napadalcem dejansko daje popoln nadzor nad izpostavljenimi sistemi.
Izpostavljenost v velikem obsegu: globalni vpliv
Telemetrija, zbrana do konca decembra 2025, kaže, da je po vsem svetu izpostavljenih približno 90.300 ranljivih primerkov. Večina se jih nahaja v Združenih državah Amerike, kar predstavlja približno 68.400 sistemov. Med drugimi močno prizadetimi regijami so Nemčija s približno 4.300 primerki, Francija z 2.800 in Indija s 1.500, kar poudarja globalni doseg težave.
RondoDox razvija svoj arzenal izkoriščanja
RondoDox, ki je bil prvič odkrit v začetku leta 2025, je postopoma širil svoje zmogljivosti z vključitvijo dodatnih ranljivosti N-day v svoj nabor orodij za izkoriščanje. Mednje spadata CVE-2023-1389 in CVE-2025-24893. Že prejšnja poročila so opozarjala na uporabo React2Shell s strani botneta, kar je poudarjalo trend hitre uporabe novo odkritih pomanjkljivosti kot orožja.
Tri faze eskalacije
Preden je bil CVE-2025-55182 uporabljen kot orožje, je kampanja RondoDox potekala skozi strukturiran cikel eskalacije:
Marec–april 2025 : Osredotočeno izvidovanje, povezano z ročnim odkrivanjem in testiranjem ranljivosti.
April–junij 2025 : Dnevno, obsežno testiranje pogostih spletnih platform, kot so WordPress, Drupal in Struts2, skupaj s strojno opremo interneta stvari, vključno z usmerjevalniki Wavlink.
Julij–začetek decembra 2025 : Popolnoma avtomatizirana uvedba na uro, zasnovana za maksimalen doseg in trajnost.
Decembrski napadi: koristni tovor in vztrajnost
Med aktivnostjo, opaženo decembra 2025, so akterji grožnje skenirali za izpostavljene strežnike Next.js in poskušali namestiti več zlonamernih komponent. Med njimi so bili rudarji kriptovalut, nalagalnik in pripomoček za preverjanje zdravja botneta ter različica botneta na osnovi Mirai, prilagojena za sisteme x86.
Ključna komponenta, »/nuts/bolts«, igra obrambno vlogo za napadalce. Sistematično uniči konkurenčno zlonamerno programsko opremo in rudarje kovancev, preden pridobi primarno binarno datoteko bota iz svoje infrastrukture za upravljanje in nadzor (C2). Ena od identificiranih različic agresivno čisti okužene gostitelje z odstranjevanjem sledi konkurenčnih botnetov, koristnih naklad, ki temeljijo na Dockerju, ostankov prejšnjih kampanj in povezanih opravil cron, hkrati pa vzpostavlja obstojnost s spremembami v /etc/crontab.
Zlonamerna programska oprema dodatno uveljavlja ekskluzivnost z nenehnim skeniranjem datotečnega sistema /proc, da bi prepoznala aktivne izvedljive datoteke, in približno vsakih 45 sekund prekine vse procese, ki niso na belem seznamu. To vedenje učinkovito blokira poskuse ponovne okužbe s strani drugih akterjev grožnje.
Zmanjševanje tveganja in omejevanje izpostavljenosti
Da bi se ubranile grožnje, ki jo predstavlja RondoDox, bi morale varnostne ekipe sprejeti večplastno obrambno strategijo:
- Takoj nadgradite uvedbe Next.js na popolnoma popravljene različice, ki odpravljajo težavo CVE-2025-55182.
- Izolirajte naprave IoT znotraj namenskih VLAN-ov, da omejite prečno gibanje.
- Implementirajte požarne zidove spletnih aplikacij (WAF) in nenehno spremljajte nepravilno izvajanje procesov.
- Proaktivno blokirajte znano infrastrukturo za upravljanje in nadzor, povezano z botnetom.
Ti ukrepi skupaj znatno zmanjšajo verjetnost vdora in pomagajo omejiti vpliv nenehne dejavnosti botnetov.
