RondoDox僵尸网络

利用 RondoDox 僵尸网络的恶意软件活动大幅扩展了其攻击范围，目前已瞄准 30 多家供应商的 50 多个漏洞。安全专家将这种方法描述为“漏洞散弹枪”，反映出攻击者不加区分地攻击各种暴露在互联网上的基础设施。受影响的系统包括路由器、数字视频录像机 (DVR)、网络视频录像机 (NVR)、闭路电视系统、网络服务器以及众多其他联网设备。

早期入侵和历史背景

首次值得注意的 RondoDox 活动是在 2025 年 7 月观察到的，当时研究人员记录了针对 TBK DVR 和 Four-Faith 路由器的攻击。这些设备被纳入僵尸网络，旨在通过 HTTP、UDP 和 TCP 协议发起分布式拒绝服务 (DDoS) 攻击。

2025 年 6 月 15 日检测到一次特定的入侵尝试，该尝试通过 CVE-2023-1389 针对 TP-Link Archer 路由器，该漏洞自 2022 年底披露以来一直被反复利用。这些事件凸显了 RondoDox 正在从机会主义的单设备攻击演变为更广泛、更协调的活动。

通过装载机即服务扩大分销

RondoDox 最近采用了加载器即服务 (LaaS) 模型，将其有效载荷与 Mirai 和 Morte 恶意软件打包在一起。这种策略允许攻击者同时传播多种威胁，使检测和修复工作变得更加复杂。

此次扩大活动的主要特点包括：

• 使用弱凭证、未经过处理的输入和旧式 CVE 来破坏设备
• 针对 SOHO 路由器、物联网设备和企业应用程序
• 多载体攻击，标志着从单一设备机会主义向协调僵尸网络部署的转变

广泛的利用武器库

RondoDox 目前利用了近 56 个漏洞，其中 18 个尚未获得 CVE 编号。被利用的系统涉及众多供应商，包括：

D-Link、TVT、LILIN、Fiberhome、Linksys、BYTEVALUE、ASMAX、Brickcom、IQrouter、Ricon、Nexxt、NETGEAR、Apache、TBK、TOTOLINK、Meteobridge、Digiever、Edimax、QNAP、GNU、Dasan、Tenda、LB-LINK、AVTECH、Zyxel、Hytec Inter、Belkin、Billion 和 Cisco。

不断增长的武器库表明僵尸网络日益复杂，并且能够利用众所周知和以前未记录的漏洞。

对网络安全的影响

最新的 RondoDox 攻击活动代表了自动化网络攻击的重大发展。通过将加载器即服务操作与扩展的漏洞利用集相结合，攻击者已从针对单个设备的机会性攻击转向战略性、多向量僵尸网络攻击。

安全团队必须保持警惕，优先修补已知漏洞，监控可疑网络活动，并部署主动检测工具，以减轻这些快速发展的威胁带来的风险。