Chiến dịch tấn công IoT bằng Botnet RondoDox

Các chuyên gia phân tích an ninh mạng đã phát hiện một chiến dịch tấn công dai dẳng kéo dài khoảng chín tháng, nhắm mục tiêu vào các thiết bị Internet vạn vật (IoT) và các ứng dụng web. Mục tiêu của chiến dịch này là tuyển mộ các hệ thống dễ bị tổn thương vào một mạng botnet có tên RondoDox, thể hiện sự kiên nhẫn và trình độ chuyên môn cao của những kẻ tấn công.

React2Shell: Điểm Khởi đầu Quan trọng

Tính đến tháng 12 năm 2025, các nhà nghiên cứu đã quan sát thấy chiến dịch này khai thác lỗ hổng React2Shell (CVE-2025-55182) làm cơ chế truy cập ban đầu chính. Lỗ hổng nghiêm trọng này, với điểm CVSS là 10.0, ảnh hưởng đến các thành phần máy chủ React (RSC) và các triển khai Next.js. Nếu không được vá, nó cho phép thực thi mã từ xa mà không cần xác thực, từ đó trao cho kẻ tấn công toàn quyền kiểm soát các hệ thống bị phơi bày.

Tiếp xúc trên quy mô lớn: Tác động toàn cầu

Dữ liệu đo từ xa thu thập được đến cuối tháng 12 năm 2025 cho thấy khoảng 90.300 hệ thống dễ bị tổn thương vẫn đang bị tấn công trên toàn thế giới. Phần lớn tập trung ở Hoa Kỳ, chiếm khoảng 68.400 hệ thống. Các khu vực bị ảnh hưởng đáng kể khác bao gồm Đức với khoảng 4.300 hệ thống, Pháp với 2.800 hệ thống và Ấn Độ với 1.500 hệ thống, cho thấy phạm vi toàn cầu của vấn đề này.

RondoDox nâng cấp kho công cụ khai thác lỗ hổng của mình.

Được phát hiện lần đầu vào đầu năm 2025, RondoDox đã liên tục mở rộng khả năng của mình bằng cách tích hợp thêm các lỗ hổng N-day vào bộ công cụ khai thác. Chúng bao gồm CVE-2023-1389 và CVE-2025-24893. Các báo cáo trước đó đã cảnh báo về việc botnet này sử dụng React2Shell, làm nổi bật xu hướng nhanh chóng vũ khí hóa các lỗ hổng mới được phát hiện.

Ba giai đoạn leo thang

Trước khi sử dụng lỗ hổng CVE-2025-55182 làm vũ khí, chiến dịch RondoDox đã trải qua một chu trình leo thang có cấu trúc:

Tháng 3-tháng 4 năm 2025 : Tập trung trinh sát kết hợp với việc phát hiện và kiểm tra lỗ hổng bảo mật thủ công.

Tháng 4–tháng 6 năm 2025 : Tiến hành thăm dò quy mô lớn hàng ngày các nền tảng web phổ biến như WordPress, Drupal và Struts2, cùng với phần cứng IoT, bao gồm cả bộ định tuyến Wavlink.

Tháng 7 – đầu tháng 12 năm 2025 : Triển khai hoàn toàn tự động, theo giờ, được thiết kế để đạt phạm vi tiếp cận và duy trì tối đa.

Các cuộc tấn công tháng 12: Mã độc và khả năng duy trì hoạt động

Trong hoạt động được quan sát vào tháng 12 năm 2025, các tác nhân đe dọa đã quét tìm các máy chủ Next.js bị lộ và cố gắng triển khai nhiều thành phần độc hại. Chúng bao gồm các phần mềm khai thác tiền điện tử, một trình tải botnet và tiện ích kiểm tra trạng thái, cũng như một biến thể botnet dựa trên Mirai được tùy chỉnh cho hệ thống x86.

Một thành phần quan trọng, '/nuts/bolts', đóng vai trò phòng thủ cho kẻ tấn công. Nó có hệ thống chấm dứt các phần mềm độc hại và phần mềm khai thác tiền điện tử cạnh tranh trước khi lấy được tệp nhị phân bot chính từ cơ sở hạ tầng điều khiển và kiểm soát (C2) của nó. Một biến thể được xác định tích cực làm sạch các máy chủ bị nhiễm bằng cách xóa dấu vết của các mạng botnet đối thủ, các payload dựa trên Docker, tàn dư của các chiến dịch trước đó và các tác vụ cron liên quan, đồng thời thiết lập khả năng duy trì thông qua việc sửa đổi tệp /etc/crontab.

Phần mềm độc hại này còn tăng cường tính độc quyền bằng cách liên tục quét hệ thống tệp /proc để xác định các tệp thực thi đang hoạt động, và chấm dứt bất kỳ tiến trình nào không nằm trong danh sách cho phép khoảng 45 giây một lần. Hành vi này giúp ngăn chặn hiệu quả các nỗ lực lây nhiễm lại từ các tác nhân đe dọa khác.

Giảm thiểu rủi ro và hạn chế tiếp xúc

Để đối phó với mối đe dọa từ RondoDox, các nhóm bảo mật nên áp dụng chiến lược phòng thủ nhiều lớp:

• Nâng cấp ngay lập tức các triển khai Next.js lên phiên bản đã được vá lỗi hoàn toàn để khắc phục lỗ hổng bảo mật CVE-2025-55182.
• Phân lập các thiết bị IoT trong các VLAN chuyên dụng để hạn chế sự di chuyển ngang.
• Triển khai tường lửa ứng dụng web (WAF) và liên tục giám sát việc thực thi các tiến trình bất thường.
• Chủ động chặn các cơ sở hạ tầng điều khiển và kiểm soát đã biết có liên quan đến mạng botnet.

Nhìn chung, các biện pháp này giúp giảm đáng kể khả năng bị xâm nhập và hạn chế tác động của hoạt động mạng botnet đang diễn ra.