Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch kéo dài 9 tháng liên tục nhắm mục tiêu vào các thiết bị Internet of Things (IoT) và ứng dụng web để đưa chúng vào một botnet có tên là RondoDox.
Tính đến tháng 12 năm 2025, hoạt động này đã được quan sát thấy sử dụng lỗ hổng React2Shell (CVE-2025-55182, CVSS score: 10.0) được tiết lộ gần đây làm vector truy cập ban đầu, CloudSEK cho biết trong một phân tích.
React2Shell là tên được gán cho một lỗ hổng bảo mật nghiêm trọng trong React Server Components (RSC) và Next.js có thể cho phép những kẻ tấn công không xác thực thực hiện remote code execution trên các thiết bị dễ bị tổn thương.
Theo thống kê từ Shadowserver Foundation, có khoảng 90.300 phiên bản vẫn dễ bị tổn thương bởi lỗ hổng này tính đến ngày 31 tháng 12 năm 2025, trong đó 68.400 phiên bản được đặt tại Hoa Kỳ, tiếp theo là Đức (4.300), Pháp (2.800) và Ấn Độ (1.500).
RondoDox, xuất hiện vào đầu năm 2025, đã mở rộng quy mô bằng cách thêm các lỗ hổng bảo mật N-day mới vào kho vũ khí của mình, bao gồm CVE-2023-1389 và CVE-2025-24893. Đáng chú ý là việc lạm dụng React2Shell để phát tán botnet trước đây đã được Darktrace, Kaspersky và VulnCheck nhấn mạnh.
Các giai đoạn của chiến dịch RondoDox
Chiến dịch botnet RondoDox được đánh giá đã trải qua ba giai đoạn riêng biệt trước khi khai thác CVE-2025-55182 -
- Tháng 3 - Tháng 4 năm 2025 - Do thám ban đầu và quét lỗ hổng thủ công
- Tháng 4 - Tháng 6 năm 2025 - Thăm dò lỗ hổng hàng loạt hàng ngày trên các ứng dụng web như WordPress, Drupal và Struts2, cùng các thiết bị IoT như bộ định tuyến Wavlink
- Tháng 7 - đầu tháng 12 năm 2025 - Triển khai tự động hàng giờ trên quy mô lớn
Trong các cuộc tấn công được phát hiện vào tháng 12 năm 2025, các tác nhân đe dọa được cho là đã khởi xướng quét để xác định các máy chủ Next.js dễ bị tổn thương, sau đó là các nỗ lực thả các cryptocurrency miners ("/nuts/poop"), một botnet loader và health checker ("/nuts/bolts"), và một biến thể Mirai botnet ("/nuts/x86") trên các thiết bị bị nhiễm.
"/nuts/bolts" được thiết kế để chấm dứt các malware và coin miners cạnh tranh trước khi tải xuống tệp nhị phân bot chính từ máy chủ command-and-control (C2) của nó. Một biến thể của công cụ này đã được phát hiện để xóa các botnet đã biết, các payloads dựa trên Docker, các tạo phẩm còn lại từ các chiến dịch trước đó và các cron jobs liên quan, đồng thời thiết lập persistence bằng cách sử dụng "/etc/crontab."
"Nó liên tục quét /proc để liệt kê các chương trình thực thi đang chạy và tiêu diệt các tiến trình không có trong danh sách trắng cứ sau khoảng 45 giây, ngăn chặn hiệu quả việc lây nhiễm lại bởi các tác nhân đối thủ," CloudSEK cho biết.
Để giảm thiểu rủi ro do mối đe dọa này gây ra, các tổ chức được khuyến nghị cập nhật Next.js lên phiên bản đã được vá càng sớm càng tốt, phân đoạn tất cả các thiết bị IoT vào các VLAN chuyên dụng, triển khai Web Application Firewalls (WAFs), giám sát việc thực thi tiến trình đáng ngờ và chặn cơ sở hạ tầng C2 đã biết.
