RondoDox僵尸网络物联网攻击活动

网络安全分析师发现了一场持续约九个月的高强度攻击活动，该活动主要针对物联网 (IoT) 设备和网络应用程序。此次行动的目标是将易受攻击的系统纳入名为 RondoDox 的僵尸网络，这展现了攻击者的耐心和娴熟的作战技巧。

React2Shell：关键入口点

截至 2025 年 12 月，研究人员发现该攻击活动主要利用 React2Shell (CVE-2025-55182) 漏洞作为其初始访问机制。该严重漏洞的 CVSS 评分为 10.0，影响 React 服务器组件 (RSC) 和 Next.js 的实现。如果不进行修补，该漏洞允许未经身份验证的远程代码执行，从而有效地赋予攻击者对暴露系统的完全控制权。

大规模曝光：全球影响

截至2025年12月底收集的遥测数据显示，全球仍有约90,300个易受攻击的系统实例暴露在外。其中大部分位于美国，约占68,400个系统。其他受影响严重的地区包括德国（约4,300个实例）、法国（约2,800个实例）和印度（约1,500个实例），这凸显了该问题的全球性影响。

RondoDox 不断完善其攻击手段

RondoDox 最早于 2025 年初被发现，此后不断扩展其攻击能力，将更多 N 天漏洞整合到其攻击工具包中。这些漏洞包括 CVE-2023-1389 和 CVE-2025-24893。此前已有报告警告称该僵尸网络使用了 React2Shell，凸显了新披露漏洞被迅速武器化的趋势。

升级的三个阶段

在将 CVE-2025-55182 武器化之前，RondoDox 行动经历了一个结构化的升级周期：

2025 年 3 月至 4 月：重点侦察与人工漏洞发现和测试相结合。

2025 年 4 月至 6 月：对 WordPress、Drupal 和 Struts2 等常见 Web 平台以及 Wavlink 路由器等物联网硬件进行每日大规模探测。

2025 年 7 月至 12 月初：全自动、按小时部署，旨在实现最大覆盖范围和持久性。

十二月攻击：有效载荷和持久化

在 2025 年 12 月观察到的活动中，威胁行为者扫描了暴露的 Next.js 服务器，并试图部署多个恶意组件。这些组件包括加密货币挖矿程序、僵尸网络加载器和健康检查实用程序，以及针对 x86 系统定制的基于 Mirai 的僵尸网络变种。

关键组件“/nuts/bolts”在攻击者中扮演着防御角色。它会在从其命令与控制 (C2) 基础设施中检索主僵尸程序二进制文件之前，系统性地终止竞争对手的恶意软件和挖矿程序。已发现的一个变种会积极清理受感染的主机，清除竞争对手僵尸网络、基于 Docker 的有效载荷、早期攻击活动的残留以及相关的定时任务的痕迹，同时通过修改 /etc/crontab 文件来建立持久性。

该恶意软件通过持续扫描 /proc 文件系统来识别活动的可执行文件，从而进一步强化其独占性，并大约每 45 秒终止一次任何未列入白名单的进程。这种行为有效地阻止了其他攻击者的再次感染尝试。

降低风险和限制暴露

为了应对 RondoDox 构成的威胁，安全团队应采取分层防御策略：

• 立即将 Next.js 部署升级到完全修复了 CVE-2025-55182 的版本。
• 将物联网设备隔离在专用 VLAN 中，以限制横向移动。
• 实施 Web 应用程序防火墙 (WAF) 并持续监控异常进程执行情况。
• 主动阻止与僵尸网络相关的已知命令与控制基础设施。

综合来看，这些措施可以显著降低系统被入侵的可能性，并有助于控制持续僵尸网络活动的影响。