RondoDox殭屍網絡

利用 RondoDox 殭屍網路的惡意軟體活動大幅擴展了其攻擊範圍，目前已瞄準 30 多家供應商的 50 多個漏洞。安全專家將這種方法描述為“漏洞散彈槍”，反映出攻擊者不加區分地攻擊各種暴露在網路上的基礎設施。受影響的系統包括路由器、數位錄影機 (DVR)、網路錄影機 (NVR)、閉路電視系統、網路伺服器以及眾多其他連網裝置。

早期入侵和歷史背景

首次值得注意的 RondoDox 活動是在 2025 年 7 月觀察到的，當時研究人員記錄了針對 TBK DVR 和 Four-Faith 路由器的攻擊。這些設備被納入殭屍網絡，旨在透過 HTTP、UDP 和 TCP 協定發動分散式阻斷服務 (DDoS) 攻擊。

2025 年 6 月 15 日偵測到一次特定的入侵嘗試，該嘗試透過 CVE-2023-1389 針對 TP-Link Archer 路由器，該漏洞自 2022 年底披露以來一直被反覆利用。這些事件凸顯了 RondoDox 正在從機會主義的單一裝置攻擊演變為更廣泛、更協調的活動。

透過裝載機即服務擴大分銷

RondoDox 最近採用了加載器即服務 (LaaS) 模型，將其有效載荷與 Mirai 和 Morte 惡意軟體打包在一起。這種策略允許攻擊者同時傳播多種威脅，使偵測和修復工作變得更加複雜。

此次擴大活動的主要特點包括：

• 使用弱憑證、未經過處理的輸入和舊式 CVE 來破壞設備
• 針對 SOHO 路由器、物聯網設備和企業應用程式
• 多載體攻擊，標誌著從單一設備機會主義向協調殭屍網路部署的轉變

廣泛的利用武器庫

RondoDox 目前利用了近 56 個漏洞，其中 18 個尚未獲得 CVE 編號。被利用的系統涉及眾多供應商，包括：

D-Link、TVT、LILIN、Fiberhome、Linksys、BYTEVALUE、ASMAX、Brickcom、IQrouter、Ricon、Nexxt、NETGEAR、Apache、TBK、TOTOLINK、Meteobridge、Digiever、Edimax、QNAP、GNU、Dasan、Tenda、Meteobridge、Digiever、Edimax、QNAP、GNU、Dasan、Tenda、Meteobridge、Digiever、Edimax、Hillion、GNU、Dasan、Tenda、LB-1K、Mtecy Inter

不斷增長的武器庫表明殭屍網路日益複雜，並且能夠利用眾所周知和以前未記錄的漏洞。

對網路安全的影響

最新的 RondoDox 攻擊活動代表了自動化網路攻擊的重大發展。透過將載入器即服務操作與擴展的漏洞利用集結合，攻擊者已從針對單一裝置的機會性攻擊轉向策略性、多向量殭屍網路攻擊。

安全團隊必須保持警惕，優先修補已知漏洞，監控可疑網路活動，並部署主動偵測工具，以減輕這些快速發展的威脅所帶來的風險。