Rabattoffert för flera licenser
Hotdatabas Botnät RondoDox Botnät

RondoDox Botnät

Med Mezo år Botnät
Översätt till:

Skadliga programkampanjer som utnyttjar botnätet RondoDox har dramatiskt utökat sin attackyta och riktar sig nu mot över 50 sårbarheter hos fler än 30 leverantörer. Säkerhetsexperter beskriver denna metod som ett "exploit shotgun", vilket återspeglar den urskillningslösa inriktningen på ett brett spektrum av internet-exponerad infrastruktur. Berörda system inkluderar routrar, digitala videoinspelare (DVR), nätverksvideoinspelare (NVR), CCTV-system, webbservrar och många andra nätverksanslutna enheter.

Tidiga intrång och historiskt sammanhang

Den första anmärkningsvärda RondoDox-aktiviteten observerades i juli 2025, då forskare dokumenterade attacker mot TBK DVR:er och Four-Faith-routrar. Dessa enheter hölls på att användas i ett botnät utformat för att utföra distribuerade denial-of-service (DDoS)-attacker över HTTP-, UDP- och TCP-protokoll.

Ett specifikt intrångsförsök upptäcktes den 15 juni 2025, riktat mot TP-Link Archer-routrar via CVE-2023-1389, en brist som utnyttjats upprepade gånger sedan den avslöjades i slutet av 2022. Dessa incidenter belyser den pågående utvecklingen av RondoDox från opportunistiska attacker mot en enda enhet till bredare, mer samordnade kampanjer.

Utökad distribution genom Loader-as-a-Service

RondoDox har nyligen anammat en loader-as-a-service (LaaS)-modell, där dess nyttolast paketeras tillsammans med skadlig kod som Mirai och Morte. Denna taktik gör det möjligt för angripare att distribuera flera hot samtidigt, vilket komplicerar upptäckt och åtgärdande insatser.

Viktiga egenskaper hos denna utökade kampanj inkluderar:

  • Användning av svaga inloggningsuppgifter, osanerade indata och äldre CVE:er för att kompromettera enheter
  • Inriktning på SOHO-routrar, IoT-enheter och företagsapplikationer
  • Multivektorutnyttjande, vilket signalerar ett skifte från opportunism med en enda enhet till samordnad botnätsdistribution

Bred exploiteringsarsenal

RondoDox använder nu nästan 56 sårbarheter, varav 18 fortfarande saknar CVE-identifierare. De utnyttjade systemen spänner över ett brett spektrum av leverantörer, inklusive:

D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion och Cisco.

Denna växande arsenal visar botnätets ökande sofistikering och dess förmåga att utnyttja både välkända och tidigare odokumenterade sårbarheter.

Implikationer för cybersäkerhet

De senaste RondoDox-kampanjerna representerar en betydande utveckling inom automatiserad nätverksexploatering. Genom att kombinera loader-as-a-service-operationer med en utökad uppsättning exploateringar går angripare bortom opportunistiska attacker på enskilda enheter och mot strategiska botnätoperationer med flera vektorer.

Säkerhetsteam måste förbli vaksamma, prioritera att åtgärda kända sårbarheter, övervaka misstänkt nätverksaktivitet och distribuera proaktiva detekteringsverktyg för att minska risken som dessa snabbt föränderliga hot utgör.

Trendigt

Mest sedda

Läser in...