Botnetul RondoDox exploatează React2Shell pentru a deturna dispozitive IoT și servere web

Specialiștii în domeniul securității cibernetice au dezvăluit detalii despre o campanie persistentă, care a durat nouă luni, ce a vizat dispozitivele Internet of Things (IoT) și aplicațiile web pentru a le integra într-o rețea de botnet cunoscută sub numele de RondoDox.

În decembrie 2025, s-a observat că activitatea exploata vulnerabilitatea React2Shell (CVE-2025-55182, scor CvSS: 10/10) dezvăluită recent ca vector de acces inițial.

React2Shell este numele atribuit unei vulnerabilități critice de securitate în React Server Components (RSC) și Next.js, care ar putea permite atacatorilor neautentificați să execute cod de la distanță pe dispozitive vulnerabile.

RondoDox, care a apărut la începutul anului 2025, și-a extins amploarea prin adăugarea de noi vulnerabilități de securitate N-day la arsenalul său, inclusiv CVE-2023-1389 și CVE-2025-24893.

În atacurile detectate în decembrie 2025, se presupune că atacatorii au inițiat scanări pentru a identifica serverele Next.js vulnerabile, urmate de încercări de a introduce programe de minare de criptomonede (/nuts/poop), un loader botnet și un un program de verificare de stare (/nuts/bolts) și o variantă de botnet Mirai (/nuts/x86) pe dispozitivele infectate.

/nuts/bolts este conceput pentru a elimina malware-ul concurent și minerii de criptomonede înainte de a descărca fișierul binar principal al botului de pe serverul său de comandă și control (C2).

Pentru a reduce riscul reprezentat de această amenințare, se recomandă actualizarea Next.js la o versiune patch-uită cât mai curând posibil, segmentarea tuturor dispozitivelor IoT în VLAN-uri dedicate, implementarea de firewall-uri pentru aplicații web (WAF), monitorizarea executării proceselor suspecte și blocarea infrastructurii C2 cunoscută.

Sursă: https://thehackernews.com/2026/01/rondodox-botnet-exploits-critical.html