RondoDox殭屍網路物聯網攻擊活動

網路安全分析師發現了一場持續約九個月的高強度攻擊活動，該活動主要針對物聯網 (IoT) 設備和網路應用程式。這項行動的目標是將易受攻擊的系統納入名為 RondoDox 的殭屍網絡，這展現了攻擊者的耐心和熟練的作戰技巧。

React2Shell：關鍵入口點

截至 2025 年 12 月，研究人員發現該攻擊活動主要利用 React2Shell (CVE-2025-55182) 漏洞作為其初始存取機制。此嚴重漏洞的 CVSS 評分為 10.0，影響 React 伺服器元件 (RSC) 和 Next.js 的實作。如果不進行修補，則該漏洞允許未經身份驗證的遠端程式碼執行，從而有效地賦予攻擊者對暴露系統的完全控制權。

大規模曝光：全球影響

截至2025年12月底收集的遙測資料顯示，全球仍有約90,300個易受攻擊的系統實例暴露在外。其中大部分位於美國，約佔68,400個系統。其他受影響嚴重的地區包括德國（約4,300個實例）、法國（約2,800個實例）和印度（約1,500個實例），這凸顯了該問題的全球性影響。

RondoDox 不斷精進其攻擊手段

RondoDox 最早於 2025 年初被發現，此後不斷擴展其攻擊能力，將更多 N 天漏洞整合到其攻擊工具包中。這些漏洞包括 CVE-2023-1389 和 CVE-2025-24893。先前已有報告警告該殭屍網路使用了 React2Shell，凸顯了新揭露漏洞被迅速武器化的趨勢。

升級的三個階段

在將 CVE-2025-55182 武器化之前，RondoDox 行動經歷了一個結構化的升級週期：

2025 年 3 月至 4 月：重點偵察與人工漏洞發現和測試結合。

2025 年 4 月至 6 月：對 WordPress、Drupal 和 Struts2 等常見 Web 平台以及 Wavlink 路由器等物聯網硬體進行每日大規模探測。

2025 年 7 月至 12 月初：全自動、按小時部署，旨在實現最大覆蓋範圍和持久性。

十二月攻擊：有效載荷和持久化

在 2025 年 12 月觀察到的活動中，威脅行為者掃描了暴露的 Next.js 伺服器，並試圖部署多個惡意元件。這些組件包括加密貨幣挖礦程序、殭屍網路載入器和健康檢查實用程序，以及針對 x86 系統定制的基於 Mirai 的殭屍網路變種。

關鍵組件「/nuts/bolts」在攻擊者中扮演防禦角色。它會在從其命令與控制 (C2) 基礎架構中檢索主殭屍程式二進位檔案之前，系統性地終止競爭對手的惡意軟體和挖礦程式。已發現的一個變種會積極清理受感染的主機，清除競爭對手殭屍網路、基於 Docker 的有效載荷、早期攻擊活動的殘留以及相關的定時任務的痕跡，同時透過修改 /etc/crontab 檔案來建立持久性。

該惡意軟體透過持續掃描 /proc 檔案系統來識別活動的可執行文件，從而進一步強化其獨佔性，並大約每 45 秒終止一次任何未列入白名單的進程。這種行為有效地阻止了其他攻擊者的再次感染嘗試。

降低風險和限制暴露

為了應對 RondoDox 構成的威脅，安全團隊應採取分層防禦策略：

• 立即將 Next.js 部署升級到完全修復了 CVE-2025-55182 的版本。
• 將物聯網裝置隔離在專用 VLAN 中，以限制橫向移動。
• 實施 Web 應用程式防火牆 (WAF) 並持續監控異常進程執行。
• 主動阻止與殭屍網路相關的已知命令與控制基礎設施。

綜合來看，這些措施能顯著降低系統被入侵的可能性，並有助於控制持續殭屍網路活動的影響。