Trwa kampania RondoDox: Botnet atakuje urządzenia IoT i aplikacje internetowe

Badania nad cyberbezpieczeństwem ujawniły szczegóły na temat długotrwałej, dziewięciomiesięcznej kampanii, która skoncentrowała się na atakowaniu urządzeń Internetu Rzeczy (IoT) oraz aplikacji webowych. Celem tych działań jest włączenie ich do botnetu znanego jako RondoDox.

Jak wskazał CloudSEK w przeprowadzonej analizie, od grudnia 2025 roku, aktywność ta wykorzystuje niedawno ujawnioną lukę React2Shell (CVE-2025-55182, ocena CVSS: 10.0) jako wektor początkowego dostępu.

Ważna luka w React2Shell

React2Shell to krytyczna podatność bezpieczeństwa w React Server Components (RSC) oraz Next.js, która umożliwia nieautoryzowanym atakującym zdalne wykonanie kodu na podatnych urządzeniach.

Z danych dostarczonych przez Shadowserver Foundation wynika, że na dzień 31 grudnia 2025 roku, istnieje około 90,300 instancji, które pozostają narażone na tę lukę. Z tej liczby 68,400 znajduje się w Stanach Zjednoczonych, a na kolejnych miejscach uplasowały się Niemcy (4,300), Francja (2,800) oraz Indie (1,500).

Rozwój botnetu RondoDox

Botnet RondoDox, który pojawił się na początku 2025 roku, zwiększył swoją skalę, dodając do swojego arsenału nowe luki N-dni, w tym CVE-2023-1389 oraz CVE-2025-24893. Warto zaznaczyć, że nadużycie React2Shell do rozprzestrzenienia tego botnetu wcześniej zwróciły uwagę takie firmy jak Darktrace, Kaspersky i VulnCheck.

Etapy kampanii RondoDox

Kampania botnetu RondoDox przeszła przez trzy odrębne etapy przed wykorzystaniem CVE-2025-55182:

• Marzec – Kwiecień 2025: Wstępne rozpoznanie oraz ręczne skanowanie podatności.
• Kwiecień – Czerwiec 2025: Codzienne masowe badanie podatności aplikacji webowych takich jak WordPress, Drupal, Struts2 oraz urządzeń IoT, w tym routerów Wavlink.
• Lipiec – początek grudnia 2025: Automatyczne, godzinne wdrażanie na dużą skalę.

W zarejestrowanych atakach z grudnia 2025, podejrzewani aktorzy zagrożeń zainicjowali skanowanie w celu zidentyfikowania podatnych serwerów Next.js, następnie podjęto próby zainstalowania górników kryptowalut („/nuts/poop”), ładunku botnetu i kontrolera zdrowia („/nuts/bolts”) oraz wariantu botnetu Mirai („/nuts/x86”) na zainfekowanych urządzeniach.

Jak działa złośliwe oprogramowanie

„/nuts/bolts” zostało zaprojektowane tak, aby eliminować konkurencyjne malware oraz górników monet, zanim pobierze główny plik binarny bota z serwera dowodzenia (C2). Jeden z wariantów tego narzędzia został stworzony, aby usuwać znane botnety, ładunki oparte na Dockerze, artefakty pozostałe po wcześniejszych kampaniach oraz powiązane zadania cron, a także zapewniać ciągłość działania dzięki użyciu „/etc/crontab„.

Jak podkreślił CloudSEK, „ciągłe skanowanie /proc umożliwia enumerowanie działających programów i zabijanie procesów, które nie są na liście dozwolonych co około 45 sekund, efektywnie zapobiegając reinfekcji przez konkurencyjnych aktorów”.

Zalecenia dotyczące ochrony

Aby zminimalizować ryzyko związane z tym zagrożeniem, organizacjom zaleca się jak najszybsze aktualizowanie Next.js do wersji z poprawkami, segmentację wszystkich urządzeń IoT w dedykowane VLAN-y, wdrożenie zapór aplikacji webowych (WAF), monitorowanie podejrzanych procesów oraz blokowanie znanych infrastruktur C2.