Киберэксперты раскрыли подробности длительной кампании злоумышленников, которые в течение девяти месяцев заражали интернет-устройства и сервера, присоединяя их к ботнету под названием RondoDox.
По состоянию на декабрь 2025 года активность ботнета была связана с недавно раскрытой уязвимостью под названием React2Shell (идентификатор CVE-2025-55182, максимальная оценка опасности 10.0). Эта слабость затрагивает React Server Components (RSC) и фреймворк Next.js, и позволяет атакующему без авторизации выполнить код на уязвимой системе.
По данным исследования, на 31 декабря 2025 года примерно 90 300 устройств по всему миру остаются подверженными этой уязвимости. Большинство из них находятся в США, затем в Германии, Франции и Индии.
Ботнет RondoDox появился в начале 2025 года и постепенно расширял свои методы, добавив к арсеналу новые уязвимости, такие как CVE-2023-1389 и CVE-2025-24893. Эти слабости уже использовались ранее другими исследовательскими группами.
Аналитики выделяют три этапа кампании RondoDox до того, как злоумышленники начали активно эксплуатировать React2Shell:
Март - апрель 2025: изучение сети и ручное сканирование на наличие уязвимостей.
Апрель - июнь 2025: ежедневное массовое сканирование веб-сайтов (например, WordPress, Drupal, Struts2) и IoT-устройств.
Июль - начало декабря 2025: автоматическое развертывание на большой скорости.
В декабре при атаках злоумышленники искали сервера с уязвимым Next.js, затем пытались загрузить на заражённые устройства:
майнеры криптовалют (папка «/nuts/poop»),
загрузчик и проверщик работоспособности ботнета (папка «/nuts/bolts»),
вариант ботнета Mirai (папка «/nuts/x86»).
Инструмент «/nuts/bolts» сначала завершает работу конкурирующих майнеров и другого вредоносного ПО, а затем загружает основную часть ботнета с командно-контрольного сервера. Эта программа также удаляет известные ботнеты, Docker-загрузки и другие следы прошлых атак, а затем настраивает постоянное присутствие с помощью задач системного планировщика.
Чтобы уменьшить риск атак такого типа, рекомендуют:
как можно скорее обновить Next.js до версии с исправлением уязвимости,
сегментировать IoT-устройства в отдельные сети,
установить межсетевые экраны для веб-приложений (WAF),
мониторить подозрительные процессы,
блокировать известную инфраструктуру ботнета.
Кроме использования React2Shell, ботнет RondoDox известен тем, что охватывает десятки других слабых мест в интернет-устройствах и серверах, что делает его одной из самых активных угроз в мире IoT.
Источник: HN