Odborníci na kybernetickou bezpečnost zveřejnili podrobnosti o přetrvávající devítiměsíční kampani, která cílí na zařízení internetu věcí (IoT) a webové aplikace s cílem zařadit je do botnetu známého jako RondoDox.
K prosinci 2025 bylo pozorováno, že tato aktivita využívá nedávno odhalené zranitelnosti React2Shell (CVE-2025-55182, CVSS skóre: 10,0) jako vstupní vektor, uvedla společnost CloudSEK ve své analýze.
React2Shell je název přiřazený kritické bezpečnostní zranitelnosti v React Server Components (RSC) a Next.js, která by mohla neověřeným útočníkům umožnit dosáhnout vzdáleného spuštění kódu na zranitelných zařízeních.
Podle statistik od Shadowserver Foundation bylo k 31. prosinci 2025 zranitelných přibližně 90 300 instancí, z nichž se 68 400 instancí nachází v USA, následuje Německo (4 300), Francie (2 800) a Indie (1 500).
RondoDox, který se objevil na začátku roku 2025, rozšířil svůj rozsah přidáním nových N-day bezpečnostních zranitelností do svého arzenálu, včetně CVE-2023-1389 a CVE-2025-24893. Stojí za zmínku, že zneužití React2Shell k šíření botnetu bylo dříve zdůrazněno společnostmi Darktrace, Kaspersky a VulnCheck.
Kampaň botnetu RondoDox prošla před zneužitím CVE-2025-55182 třemi odlišnými fázemi:
Březen – duben 2025 – Počáteční průzkum a manuální skenování zranitelností
Duben – červen 2025 – Denní masové zkoumání zranitelností webových aplikací jako WordPress, Drupal a Struts2 a IoT zařízení jako routery Wavlink
Červenec – začátek prosince 2025 – Hodinové automatizované nasazení ve velkém měřítku
Při útocích zjištěných v prosinci 2025 měli útočníci zahájit skenování k identifikaci zranitelných Next.js serverů, následované pokusy o umístění těžařů kryptoměn („/nuts/poop“), zavaděče botnetu a kontroly stavu („/nuts/bolts“) a varianty botnetu Mirai („/nuts/x86“) na infikovaná zařízení.
„/nuts/bolts“ je navržen tak, aby ukončil konkurenční malware a těžaře mincí před stažením hlavního binárního souboru bota ze svého command-and-control (C2) serveru. Bylo zjištěno, že jedna varianta nástroje odstraňuje známé botnety, payloady založené na Dockeru, artefakty zanechané z předchozích kampaní a související cron joby, přičemž také nastavuje perzistenci pomocí „/etc/crontab“.
„Nepřetržitě skenuje /proc pro výčet spuštěných spustitelných souborů a každých ~45 sekund ukončuje procesy, které nejsou na seznamu povolených, čímž účinně zabraňuje reinfikaci konkurenčními aktéry,“ uvedla společnost CloudSEK.
Pro zmírnění rizika, které tato hrozba představuje, se organizacím doporučuje co nejdříve aktualizovat Next.js na opravenou verzi, segmentovat všechna IoT zařízení do vyhrazených VLAN, nasadit firewally webových aplikací (WAF), monitorovat podezřelé spouštění procesů a blokovat známou C2 infrastrukturu.
Zdroj: thehackernews.com
