Kampanya ng Pag-atake sa IoT ng RondoDox Botnet
Natuklasan ng mga analyst ng cybersecurity ang isang matinding kampanya na tumagal nang humigit-kumulang siyam na buwan na aktibong tumatarget sa mga Internet of Things (IoT) device at mga web application. Ang layunin ng operasyong ito ay ang pagsama-samahin ang mga mahihinang sistema sa isang botnet na tinatawag na RondoDox, na nagpapakita ng parehong pasensya at kahusayan sa pagpapatakbo sa bahagi ng mga umaatake.
Talaan ng mga Nilalaman
React2Shell: Ang Kritikal na Punto ng Pagpasok
Noong Disyembre 2025, naobserbahan ng mga mananaliksik ang kampanyang gumagamit ng React2Shell (CVE-2025-55182) bilang pangunahing mekanismo ng paunang pag-access nito. Ang kritikal na kahinaang ito, na may markang CVSS na 10.0, ay nakakaapekto sa mga implementasyon ng React Server Components (RSC) at Next.js. Kapag na-unpatch, pinapayagan nito ang hindi awtorisadong pagpapatupad ng remote code, na epektibong nagbibigay sa mga attacker ng ganap na kontrol sa mga nakalantad na sistema.
Pagkalantad sa Lawak: Pandaigdigang Epekto
Ang telemetry na nakolekta hanggang sa huling bahagi ng Disyembre 2025 ay nagpapahiwatig na humigit-kumulang 90,300 na mga mahihinang kaso ang nananatiling nakalantad sa buong mundo. Karamihan ay matatagpuan sa Estados Unidos, na bumubuo sa humigit-kumulang 68,400 na mga sistema. Kabilang sa iba pang mga rehiyon na lubhang naapektuhan ang Germany na may humigit-kumulang 4,300 na mga kaso, France na may 2,800, at India na may 1,500, na nagbibigay-diin sa pandaigdigang saklaw ng isyu.
Pinapaunlad ng RondoDox ang Mapagsamantalang Arsenal Nito
Unang natukoy noong unang bahagi ng 2025, patuloy na pinalawak ng RondoDox ang mga kakayahan nito sa pamamagitan ng pagsasama ng mga karagdagang kahinaan sa N-day sa toolkit ng exploitation nito. Kabilang dito ang CVE-2023-1389 at CVE-2025-24893. Nauna nang nagbabala ang mga naunang ulat tungkol sa paggamit ng botnet ng React2Shell, na nagpapakita ng trend ng mabilis na paggamit ng mga bagong isiniwalat na depekto bilang armas.
Tatlong Yugto ng Pagtaas
Bago gamitin ang CVE-2025-55182 bilang armas, ang kampanyang RondoDox ay dumaan sa isang nakabalangkas na siklo ng pagpapataas ng antas ng escalation:
Marso–Abril 2025 : Nakatuon na pagmamanman sa kilos-loob na sinamahan ng manu-manong pagtuklas at pagsubok ng kahinaan.
Abril–Hunyo 2025 : Araw-araw, malawakang pagsusuri sa mga karaniwang web platform tulad ng WordPress, Drupal, at Struts2, kasama ang IoT hardware, kabilang ang mga Wavlink router.
Hulyo–unang bahagi ng Disyembre 2025 : Ganap na awtomatiko, oras-oras na pag-deploy na idinisenyo para sa pinakamataas na abot at pagtitiyaga.
Mga Pag-atake sa Disyembre: Mga Payload at Pagtitiyaga
Sa aktibidad na naobserbahan noong Disyembre 2025, nag-scan ang mga threat actor para sa mga nakalantad na Next.js server at sinubukang mag-deploy ng maraming malisyosong component. Kabilang dito ang mga cryptocurrency miner, isang botnet loader at health-check utility, at isang Mirai-based botnet variant na ginawa para sa mga x86 system.
Isang mahalagang bahagi, ang '/nuts/bolts,' ay gumaganap ng papel na pandepensa para sa mga umaatake. Sistematikong tinatapos nito ang mga nakikipagkumpitensyang malware at mga minero ng coin bago kunin ang pangunahing bot binary mula sa command-and-control (C2) infrastructure nito. Isang natukoy na variant ang agresibong naglilinis ng mga nahawaang host sa pamamagitan ng pag-alis ng mga bakas ng mga karibal na botnet, mga payload na nakabatay sa Docker, mga labi ng mga naunang kampanya, at mga kaugnay na cron job, habang sabay na nagtatatag ng persistence sa pamamagitan ng mga pagbabago sa /etc/crontab.
Higit pang pinapatupad ng malware ang pagiging eksklusibo sa pamamagitan ng patuloy na pag-scan sa /proc filesystem upang matukoy ang mga aktibong executable, na tinatapos ang anumang mga prosesong hindi naka-whitelist halos bawat 45 segundo. Epektibong hinaharangan ng pag-uugaling ito ang mga pagtatangkang muling mahawa ng ibang mga aktor ng banta.
Pagbabawas ng Panganib at Paglilimita sa Pagkakalantad
Upang malabanan ang banta na dulot ng RondoDox, dapat gumamit ang mga pangkat ng seguridad ng isang patong-patong na estratehiya sa pagtatanggol:
- Agad na i-upgrade ang mga deployment ng Next.js sa mga ganap na na-patch na bersyon na tumutugon sa CVE-2025-55182.
- Ihiwalay ang mga IoT device sa loob ng mga nakalaang VLAN upang limitahan ang paggalaw sa gilid.
- Magpatupad ng mga Web Application Firewall (WAF) at patuloy na subaybayan ang mga iregular na proseso.
- Proaktibong harangan ang kilalang command-and-control infrastructure na nauugnay sa botnet.
Kung pagsasama-samahin, ang mga hakbang na ito ay lubos na nakakabawas sa posibilidad ng kompromiso at nakakatulong na mapigilan ang epekto ng patuloy na aktibidad ng botnet.
