Μια εξελιγμένη ομάδα απειλών έχει εντείνει την εκστρατεία της εναντίον οργανισμών αξιοποιώντας τις πιο πρόσφατες ευπάθειες σε εφαρμογές Ιστού και συσκευές Διαδικτύου των πραγμάτων (IoT).
Το botnet RondoDoX, που παρακολουθείται μέσω εκτεθειμένων αρχείων καταγραφής εντολών και ελέγχου που εκτείνονται σε εννέα μήνες από τον Μάρτιο έως τον Δεκέμβριο του 2025, επιδεικνύει μια αδυσώπητη προσέγγιση για την παραβίαση της εταιρικής υποδομής.
Το κακόβουλο λογισμικό λειτουργεί μέσω μιας διαδικασίας μόλυνσης πολλαπλών σταδίων που ξεκινά με τη σάρωση για ευάλωτα συστήματα και κλιμακώνεται στην ανάπτυξη cryptominers και ωφέλιμων φορτίων botnet σε διάφορα περιβάλλοντα δικτύου.
Η καμπάνια αποκαλύπτει τρεις διακριτές φάσεις επίθεσης, καθεμία σταδιακά πιο εξελιγμένη από την προηγούμενη. Αρχικά, οι φορείς απειλών πραγματοποίησαν χειροκίνητες δοκιμές ευπάθειας σε διάφορες πλατφόρμες.
.webp.jpeg "Το RondoDoX Botnet εξοπλίζει μια κρίσιμη ευπάθεια React2Shell για την ανάπτυξη κακόβουλου λογισμικού")
Μέχρι τον Απρίλιο του 2025, στράφηκαν σε αυτοματοποιημένες καθημερινές λειτουργίες σάρωσης που στοχεύουν πολλαπλά πλαίσια ιστού.
Η τελική φάση, που ξεκίνησε τον Ιούλιο του 2025, κλιμάκωσε τις επιθέσεις σε ωριαίες προσπάθειες ανάπτυξης, επιδεικνύοντας τη δέσμευση των επιτιθέμενων για συνεχή εκμετάλλευση και συμβιβασμό των υποδομών.
Αναλυτές CloudSEK αναγνωρισθείς το κακόβουλο λογισμικό μέσω σαρώσεων ρουτίνας για κακόβουλη υποδομή, αποκαλύπτοντας έξι επιβεβαιωμένους διακομιστές εντολών και ελέγχου με αλληλεπικαλυπτόμενες περιόδους λειτουργίας.
Οι ερευνητές ανακάλυψαν στοιχεία για τουλάχιστον δέκα παραλλαγές botnet που αναπτύσσονται ενεργά σε παραβιασμένα συστήματα, με αρχεία καταγραφής εντολών που αποκαλύπτουν λεπτομερή μοτίβα επίθεσης και χρήση υποδομής που καλύπτουν ολόκληρο το χρονοδιάγραμμα της καμπάνιας.
Η πιο ανησυχητική εξέλιξη εμφανίστηκε τον Δεκέμβριο του 2025, όταν οι παράγοντες απειλών άρχισαν να οπλίζουν μια κρίσιμη ευπάθεια Next.js για την ανάπτυξη ωφέλιμων φορτίων React2Shell.
Αλυσίδα επίθεσης
Αυτή η μετάβαση καταδεικνύει την ικανότητα του ομίλου να προσαρμόζεται γρήγορα και να υιοθετεί νέα ελαττώματα ασφαλείας που αποκαλύφθηκαν.
Η αλυσίδα επίθεσης ξεκινά με την αναγνώριση των ευάλωτων διακομιστών μέσω τυφλής απομακρυσμένης δοκιμής εκτέλεσης κώδικα, ακολουθούμενη από την ανάπτυξη δυαδικών αρχείων ELF που κατεβάζουν κακόβουλα ωφέλιμα φορτία από την ενεργή υποδομή εντολών και ελέγχου.
Ο μηχανισμός μόλυνσης του κακόβουλου λογισμικού αποκαλύπτει εξελιγμένες δυνατότητες επιμονής και φοροδιαφυγής. Μόλις αναπτυχθεί, το botnet εδραιώνει την επιμονή μέσω της διαμόρφωσης εργασίας cron στα αρχεία συστήματος και τερματίζει επιθετικά το ανταγωνιστικό κακόβουλο λογισμικό για να μονοπωλήσει τους πόρους του συστήματος.
Το ωφέλιμο φορτίο περιλαμβάνει cryptominers και πλαίσια υποστήριξης σχεδιασμένα για μακροπρόθεσμη κυριαρχία σε παραβιασμένους κεντρικούς υπολογιστές.
Το botnet υποστηρίζει πολλές αρχιτεκτονικές επεξεργαστών, συμπεριλαμβανομένων των x86, x86_64, MIPS, ARM και PowerPC, με πολλαπλούς εναλλακτικούς μηχανισμούς λήψης χρησιμοποιώντας πρωτόκολλα wget, curl, tftp και ftp για να διασφαλιστεί η επιτυχής παράδοση ωφέλιμου φορτίου σε ετερογενή εταιρικά περιβάλλοντα.
Οργανισμοί με δρομολογητές, κάμερες και εφαρμογές που εκτελούν το Next.js Server Actions αντιμετωπίζουν άμεσο κίνδυνο.
Η τμηματοποίηση δικτύου, η άμεση ενημέρωση κώδικα ευάλωτων εφαρμογών, η ανάπτυξη του Τείχους προστασίας εφαρμογών Ιστού και η συνεχής παρακολούθηση για ύποπτη εκτέλεση διεργασιών σε προσωρινούς καταλόγους παραμένουν απαραίτητα αμυντικά μέτρα.
Επιπλέον, το μπλοκάρισμα της αναγνωρισμένης υποδομής εντολών και ελέγχου σε περιμετρικά τείχη προστασίας παρέχει κρίσιμη βραχυπρόθεσμη προστασία έναντι ενεργών προσπαθειών εκμετάλλευσης.
