Badacze zajmujący się bezpieczeństwem ujawnili szczegóły dziewięciomiesięcznej kampanii, w ramach której urządzenia Internetu Rzeczy (IoT) oraz aplikacje webowe były masowo rekrutowane do botnetu nazwanego RondoDox. Aktywność ta była obserwowana od wczesnych faz 2025 r. i przybrała na sile w kolejnych miesiącach, prowadząc do znaczącego wzrostu infekcji i rozprzestrzeniania złośliwych ładunków.
Na grudzień 2025 r. analitycy CloudSEK wskazali, że atakujący wykorzystują niedawno ujawnioną lukę znaną jako React2Shell (CVE-2025-55182, ocena CVSS: 10.0) jako wektor uzyskania wstępnego dostępu. React2Shell to krytyczna podatność w komponentach React Server Components (RSC) i frameworku Next.js, która umożliwia nieautoryzowane zdalne wykonanie kodu na podatnych serwerach — to znacznie upraszcza zadanie atakującemu, bo pozwala na przejęcie kontroli bez potrzeby uwierzytelnienia.
Skala problemu jest istotna: według danych Shadowserver Foundation na dzień 31 grudnia 2025 r. około 90 300 instancji nadal pozostawało podatnych na tę lukę. Z tej liczby 68 400 instancji znajdowało się w USA, następnie w Niemczech (4 300), Francji (2 800) i Indiach (1 500). Te rozproszone zasoby stanowią szerokie pole do działania dla operatorów botnetu, zwłaszcza tam, gdzie serwery Next.js nie zostały zaktualizowane.
RondoDox pojawił się na początku 2025 r. i systematycznie rozszerzał swój arsenał o kolejne, już znane (tzw. N-day) podatności — wśród wymienianych są CVE-2023-1389 oraz CVE-2025-24893. Wykorzystanie React2Shell do rozprzestrzeniania botnetu było też wcześniej opisywane przez inne zespoły badawcze, co potwierdza, że luka szybko trafiła do repertuaru różnych grup atakujących.
Kampanię RondoDox można podzielić na trzy kolejne fazy, opisane przez analityków:
- Marzec–kwiecień 2025 — rozpoznanie i ręczne skanowanie w poszukiwaniu podatności.
- Kwiecień–czerwiec 2025 — codzienne, masowe sondowanie aplikacji webowych (m.in. WordPress, Drupal, Struts2) oraz urządzeń IoT (np. routery Wavlink).
- Lipiec–początek grudnia 2025 — automatyczne, godzinowe wdrożenia na dużą skalę.
W atakach wykrytych w grudniu 2025 r. operatorzy RondoDox skanowali serwery Next.js w poszukiwaniu podatnych instancji, po czym próbowali umieścić na nich zestaw ładunków: koparki kryptowalut umieszczane pod ścieżką „/nuts/poop”, loader i mechanizm kontroli stanu botnetu pod „/nuts/bolts” oraz wariant botnetu Mirai pod „/nuts/x86”.
Moduł „/nuts/bolts” pełni rolę loadera i „strażnika” — najpierw likwiduje konkurencyjne złośliwe oprogramowanie i koparki, a następnie pobiera główny binarny plik bota z serwera dowodzenia i sterowania (C2). Jeden z wariantów tego narzędzia jest zdolny do usuwania znanych botnetów, ładunków uruchamianych w kontenerach Docker, artefaktów pozostawionych po wcześniejszych kampaniach oraz powiązanych zadań cron, a także do ustanawiania mechanizmów utrzymywania się na urządzeniu poprzez modyfikację pliku /etc/crontab.
Jak opisuje CloudSEK: „Narzędzie stale skanuje katalog /proc w celu enumeracji uruchomionych plików wykonywalnych i co ~45 sekund zabija procesy, które nie znajdują się na białej liście, skutecznie uniemożliwiając reinfekcję przez rywali”. To zachowanie pokazuje, że operatorzy starają się nie tylko zdobyć dostęp, lecz także zabezpieczyć monopol na zainfekowane zasoby.
Aby ograniczyć ryzyko związane z tą kampanią, eksperci zalecają kilka praktycznych środków obronnych: zaktualizować Next.js do wersji zawierającej poprawkę jak najszybciej; odseparować wszystkie urządzenia IoT w dedykowane sieci VLAN; wdrożyć zapory aplikacyjne (WAF) chroniące aplikacje webowe; monitorować nieoczekiwane uruchomienia procesów i podejrzaną aktywność na serwerach; oraz blokować znane adresy infrastruktury C2. Te działania razem zmniejszają powierzchnię ataku i utrudniają oprogramowaniu takim jak RondoDox rozprzestrzenianie się oraz utrzymanie kontroli nad zainfekowanymi maszynami.
Znaczenie tej kampanii polega na połączeniu kilku czynników: wykorzystaniu krytycznej luki w popularnym frameworku, dużej liczbie podatnych instancji na świecie oraz kompleksowości malware, które czyści konkurencję, utrwala się i instaluje różne ładunki (koparki, botnety). Dlatego priorytetem dla administratorów i właścicieli infrastruktury powinno być szybkie wdrażanie poprawek i stosowanie wielowarstwowych środków ochronnych.
