రోండోడాక్స్ బోట్నెట్ IoT అటాక్ క్యాంపెయిన్
ఇంటర్నెట్ ఆఫ్ థింగ్స్ (IoT) పరికరాలు మరియు వెబ్ అప్లికేషన్లను చురుకుగా లక్ష్యంగా చేసుకుని దాదాపు తొమ్మిది నెలల పాటు కొనసాగిన అత్యంత నిరంతర ప్రచారాన్ని సైబర్ సెక్యూరిటీ విశ్లేషకులు కనుగొన్నారు. ఈ ఆపరేషన్ లక్ష్యం దాడి చేసేవారి సహనం మరియు కార్యాచరణ పరిపక్వత రెండింటినీ ప్రదర్శించడానికి, రోండోడాక్స్ అని పిలువబడే బోట్నెట్లోకి దుర్బల వ్యవస్థలను నిర్బంధించడం.
విషయ సూచిక
రియాక్ట్2షెల్: ది క్రిటికల్ ఎంట్రీ పాయింట్
డిసెంబర్ 2025 నాటికి, పరిశోధకులు React2Shell (CVE-2025-55182) ను దాని ప్రాథమిక ప్రారంభ యాక్సెస్ మెకానిజంగా ఉపయోగించుకుంటున్న ప్రచారాన్ని గమనించారు. 10.0 CVSS స్కోర్ను కలిగి ఉన్న ఈ క్లిష్టమైన దుర్బలత్వం, React Server Components (RSC) మరియు Next.js అమలులను ప్రభావితం చేస్తుంది. అన్ప్యాచ్ చేయబడినప్పుడు, ఇది ప్రామాణీకరించబడని రిమోట్ కోడ్ అమలును అనుమతిస్తుంది, దాడి చేసేవారికి బహిర్గత వ్యవస్థలపై పూర్తి నియంత్రణను సమర్థవంతంగా అందిస్తుంది.
స్కేల్ వద్ద బహిర్గతం: ప్రపంచ ప్రభావం
డిసెంబర్ 2025 చివరి వరకు సేకరించిన టెలిమెట్రీ ప్రకారం ప్రపంచవ్యాప్తంగా దాదాపు 90,300 దుర్బల కేసులు బహిర్గతమవుతున్నాయి. వీటిలో ఎక్కువ భాగం యునైటెడ్ స్టేట్స్లో ఉన్నాయి, దాదాపు 68,400 వ్యవస్థలు ఉన్నాయి. ఇతర గణనీయంగా ప్రభావితమైన ప్రాంతాలలో జర్మనీలో సుమారు 4,300 కేసులు, ఫ్రాన్స్లో 2,800 కేసులు మరియు భారతదేశంలో 1,500 కేసులు ఉన్నాయి, ఇది ఈ సమస్య యొక్క ప్రపంచ పరిధిని నొక్కి చెబుతుంది.
రోండోడాక్స్ దాని దోపిడీ ఆయుధాగారాన్ని అభివృద్ధి చేస్తుంది
2025 ప్రారంభంలో మొదట గుర్తించబడిన RondoDox దాని దోపిడీ టూల్కిట్లో అదనపు N-day దుర్బలత్వాలను చేర్చడం ద్వారా దాని సామర్థ్యాలను క్రమంగా విస్తరించింది. వీటిలో CVE-2023-1389 మరియు CVE-2025-24893 ఉన్నాయి. ముందుగా నివేదించబడిన నివేదికలు బోట్నెట్ యొక్క React2Shell వాడకం గురించి ఇప్పటికే హెచ్చరించాయి, కొత్తగా వెల్లడైన లోపాలను వేగంగా ఆయుధీకరించే ధోరణిని హైలైట్ చేస్తాయి.
పెరుగుదల యొక్క మూడు దశలు
CVE-2025-55182 ను ఆయుధంగా ఉపయోగించే ముందు, RondoDox ప్రచారం నిర్మాణాత్మక తీవ్రత చక్రం ద్వారా పురోగమించింది:
మార్చి–ఏప్రిల్ 2025 : మాన్యువల్ దుర్బలత్వ ఆవిష్కరణ మరియు పరీక్షతో జతచేయబడిన కేంద్రీకృత నిఘా.
ఏప్రిల్–జూన్ 2025 : Wavlink రౌటర్లతో సహా IoT హార్డ్వేర్తో పాటు, WordPress, Drupal మరియు Struts2 వంటి సాధారణ వెబ్ ప్లాట్ఫారమ్లను రోజువారీ, పెద్ద ఎత్తున పరిశీలించడం.
జూలై–డిసెంబర్ 2025 ప్రారంభంలో : గరిష్ట చేరువ మరియు నిలకడ కోసం రూపొందించబడిన పూర్తిగా ఆటోమేటెడ్, గంటకు ఒకసారి విస్తరణ.
డిసెంబర్ దాడులు: పేలోడ్లు మరియు పట్టుదల
డిసెంబర్ 2025లో గమనించిన కార్యకలాపంలో, బెదిరింపు నటులు బహిర్గతమైన Next.js సర్వర్ల కోసం స్కాన్ చేసి, బహుళ హానికరమైన భాగాలను అమలు చేయడానికి ప్రయత్నించారు. వీటిలో క్రిప్టోకరెన్సీ మైనర్లు, బోట్నెట్ లోడర్ మరియు హెల్త్-చెక్ యుటిలిటీ మరియు x86 సిస్టమ్ల కోసం రూపొందించబడిన మిరాయ్-ఆధారిత బోట్నెట్ వేరియంట్ ఉన్నాయి.
'/nuts/bolts' అనే కీలకమైన భాగం దాడి చేసేవారికి రక్షణాత్మక పాత్ర పోషిస్తుంది. ఇది దాని కమాండ్-అండ్-కంట్రోల్ (C2) మౌలిక సదుపాయాల నుండి ప్రాథమిక బాట్ బైనరీని తిరిగి పొందే ముందు పోటీ మాల్వేర్ మరియు కాయిన్ మైనర్లను క్రమపద్ధతిలో అంతం చేస్తుంది. గుర్తించబడిన ఒక వేరియంట్ ప్రత్యర్థి బాట్నెట్లు, డాకర్-ఆధారిత పేలోడ్లు, మునుపటి ప్రచారాల అవశేషాలు మరియు అనుబంధ క్రాన్ ఉద్యోగాల జాడలను తొలగించడం ద్వారా సోకిన హోస్ట్లను దూకుడుగా శుభ్రపరుస్తుంది, అదే సమయంలో /etc/crontab కు సవరణల ద్వారా నిలకడను ఏర్పరుస్తుంది.
యాక్టివ్ ఎక్జిక్యూటబుల్లను గుర్తించడానికి /proc ఫైల్సిస్టమ్ను నిరంతరం స్కాన్ చేయడం ద్వారా, దాదాపు ప్రతి 45 సెకన్లకు వైట్లిస్ట్ చేయని ప్రక్రియలను ముగించడం ద్వారా మాల్వేర్ ప్రత్యేకతను మరింతగా అమలు చేస్తుంది. ఈ ప్రవర్తన ఇతర ముప్పు కారకాల ద్వారా తిరిగి సంక్రమణ ప్రయత్నాలను సమర్థవంతంగా అడ్డుకుంటుంది.
ప్రమాదాన్ని తగ్గించడం మరియు బహిర్గతం పరిమితం చేయడం
రోండోడాక్స్ ద్వారా ఎదురయ్యే ముప్పును ఎదుర్కోవడానికి, భద్రతా బృందాలు ఒక పొరల రక్షణ వ్యూహాన్ని అవలంబించాలి:
- CVE-2025-55182 ని అడ్రస్ చేసే పూర్తిగా ప్యాచ్ చేయబడిన వెర్షన్లకు Next.js డిప్లాయ్మెంట్లను వెంటనే అప్గ్రేడ్ చేయండి.
- పార్శ్వ కదలికను పరిమితం చేయడానికి అంకితమైన VLANలలో IoT పరికరాలను వేరు చేయండి.
- వెబ్ అప్లికేషన్ ఫైర్వాల్స్ (WAFలు) అమలు చేయండి మరియు క్రమరహిత ప్రక్రియ అమలు కోసం నిరంతరం పర్యవేక్షించండి.
- బోట్నెట్తో అనుబంధించబడిన తెలిసిన కమాండ్-అండ్-కంట్రోల్ ఇన్ఫ్రాస్ట్రక్చర్ను ముందస్తుగా బ్లాక్ చేయండి.
కలిసి చూస్తే, ఈ చర్యలు రాజీ పడే అవకాశాలను గణనీయంగా తగ్గిస్తాయి మరియు కొనసాగుతున్న బోట్నెట్ కార్యకలాపాల ప్రభావాన్ని అరికట్టడంలో సహాయపడతాయి.
