RondoDox Botnät IoT-attackkampanj
Cybersäkerhetsanalytiker har avslöjat en mycket ihållande kampanj som varat i ungefär nio månader och som aktivt har riktat in sig på enheter och webbapplikationer för sakernas internet (IoT). Målet med denna operation har varit att manipulera sårbara system till ett botnät kallat RondoDox, vilket visar både tålamod och operativ mognad från angriparnas sida.
Innehållsförteckning
React2Shell: Den kritiska startpunkten
I december 2025 observerade forskare att kampanjen utnyttjade React2Shell (CVE-2025-55182) som sin primära initiala åtkomstmekanism. Denna kritiska sårbarhet, med en CVSS-poäng på 10.0, påverkar implementeringar av React Server Components (RSC) och Next.js. När den inte är uppdaterad tillåter den oautentiserad fjärrkörning av kod, vilket effektivt ger angripare full kontroll över exponerade system.
Exponering i stor skala: Global påverkan
Telemetridata som samlats in fram till slutet av december 2025 visar att ungefär 90 300 sårbara instanser fortfarande är exponerade över hela världen. Majoriteten finns i USA och står för cirka 68 400 system. Andra kraftigt drabbade regioner inkluderar Tyskland med cirka 4 300 instanser, Frankrike med 2 800 och Indien med 1 500, vilket understryker problemets globala omfattning.
RondoDox utvecklar sin exploitarsenal
RondoDox, som först identifierades i början av 2025, har stadigt utökat sina möjligheter genom att införliva ytterligare N-dagars sårbarheter i sin verktygslåda för utnyttjande av attacker. Dessa inkluderar CVE-2023-1389 och CVE-2025-24893. Tidigare rapporter hade redan varnat för botnätets användning av React2Shell, vilket belyste en trend av snabb vapenanvändning av nyligen avslöjade brister.
Tre faser av eskalering
Innan CVE-2025-55182 blev ett vapen, fortskred RondoDox-kampanjen genom en strukturerad eskaleringscykel:
Mars–april 2025 : Fokuserad rekognoscering i kombination med manuell upptäckt och testning av sårbarheter.
April–juni 2025 : Daglig, storskalig undersökning av vanliga webbplattformar som WordPress, Drupal och Struts2, tillsammans med IoT-hårdvara, inklusive Wavlink-routrar.
Juli–början av december 2025 : Helautomatiserad, timvis driftsättning utformad för maximal räckvidd och beständighet.
Decemberattackerna: Nyttolaster och uthållighet
Under aktiviteten som observerades i december 2025 skannade hotaktörer efter exponerade Next.js-servrar och försökte distribuera flera skadliga komponenter. Dessa inkluderade kryptovaluta-miners, en botnätsladdare och ett hälsokontrollverktyg, och en Mirai-baserad botnätsvariant skräddarsydd för x86-system.
En nyckelkomponent, '/nuts/bolts', spelar en defensiv roll för angriparna. Den avslutar systematiskt konkurrerande skadlig kod och myntutvinnare innan den primära botbinärfilen hämtas från sin kommando-och-kontrollinfrastruktur (C2). En identifierad variant rensar aggressivt infekterade värdar genom att ta bort spår av rivaliserande botnät, Docker-baserade nyttolaster, rester av tidigare kampanjer och tillhörande cron-jobb, samtidigt som den etablerar persistens genom modifieringar av /etc/crontab.
Den skadliga programvaran framtvingar ytterligare exklusivitet genom att kontinuerligt skanna /proc-filsystemet för att identifiera aktiva körbara filer, och avslutar alla icke-vitlistade processer ungefär var 45:e sekund. Detta beteende blockerar effektivt återinfektionsförsök från andra hotaktörer.
Minska risk och begränsa exponering
För att motverka hotet från RondoDox bör säkerhetsteam anta en defensiv strategi i flera lager:
- Uppgradera omedelbart Next.js-distributioner till fullständigt uppdaterade versioner som adresserar CVE-2025-55182.
- Isolera IoT-enheter inom dedikerade VLAN för att begränsa sidledsrörelser.
- Implementera webbapplikationsbrandväggar (WAF:er) och övervaka kontinuerligt för avvikande processkörning.
- Blockera proaktivt känd kommando- och kontrollinfrastruktur som är associerad med botnätet.
Sammantaget minskar dessa åtgärder avsevärt sannolikheten för intrång och hjälper till att begränsa effekterna av pågående botnätsaktivitet.
