В декабре 2025 года девятимесячная кампания ботнета RondoDox достигла нового уровня эскалации, переключившись на эксплуатацию критической уязвимости React2Shell. Злоумышленники используют этот вектор для захвата устройств интернета вещей (IoT) и веб-приложений с целью включения их в свою бот-сеть. Основной целью атак стали технологии React Server Components (RSC) и фреймворк Next.js, что позволяет хакерам получать удаленный доступ к системам без необходимости прохождения аутентификации.
Уязвимость, получившая идентификатор CVE-2025-55182 и название React2Shell, оценивается как критическая с максимальным баллом 10.0 по шкале CVSS. Она служит точкой первоначального входа для злоумышленников, позволяя им добиваться удаленного выполнения кода (RCE) на уязвимых устройствах. Ранее на активное использование React2Shell данным ботнетом указывали отчеты компаний Darktrace, Kaspersky и VulnCheck, предупреждая о серьезности угрозы для корпоративных и частных сетей.
Согласно статистическим данным Shadowserver Foundation от 31 декабря 2025 года, масштаб заражения оценивается как глобальный. Всего в мире обнаружено около 90 300 уязвимых экземпляров, доступных для атаки. Географическое распределение целей демонстрирует явную концентрацию в США, где расположено 68 400 систем, подверженных риску компрометации. Это делает американский сегмент интернета основной мишенью текущей волны атак.
Основной анализ кампании, проведенный исследователями CloudSEK, раскрывает историю развития RondoDox с момента его появления в начале 2025 года. Операторы ботнета последовательно расширяли свой арсенал, добавляя известные N-day уязвимости безопасности, такие как CVE-2023-1389 и CVE-2025-24893. Первая фаза операции, проходившая с марта по апрель 2025 года, ограничивалась начальной разведкой и ручным сканированием сетей на наличие брешей.
Вторая фаза активности, длившаяся с апреля по июнь 2025 года, характеризовалась ежедневным массовым зондированием целей. В этот период под удар попадали веб-приложения на платформах WordPress, Drupal и Struts2, а также специфические IoT-устройства, например, роутеры Wavlink. Третий этап, начавшийся в июле и продолжавшийся до начала декабря 2025 года, ознаменовался переходом к ежечасным автоматизированным развертываниям вредоносного ПО в промышленных масштабах.
Техническая реализация атак в декабре 2025 года начинается со сканирования для выявления уязвимых экземпляров Next.js. Ключевым инструментом в цепочке заражения выступает вредоносный скрипт под названием «/nuts/bolts». Его функционал включает завершение работы конкурирующих вредоносных программ и майнеров криптовалюты, удаление известных ботнетов и пейлоадов на базе Docker, а также очистку системы от артефактов предыдущих кампаний и связанных с ними задач cron.
После зачистки конкурентов скрипт загружает основной бинарный файл бота с командно-контрольного сервера (C2). Для обеспечения постоянного присутствия в системе RondoDox настраивает механизмы персистентности, используя файл «/etc/crontab». Это гарантирует автоматический перезапуск вредоносного кода при перезагрузке сервера или попытках администратора остановить процесс.
Ботнет использует агрессивную тактику удержания контроля над зараженным устройством. Он непрерывно сканирует директорию «/proc» для перечисления всех запущенных исполняемых файлов. Каждые 45 секунд происходит принудительное завершение всех процессов, не входящих в белый список. Такой подход позволяет предотвратить повторное заражение устройства соперничающими хакерскими группировками.
Эксперты по безопасности настоятельно рекомендуют немедленно обновить Next.js до исправленной версии для закрытия уязвимости. Кроме того, необходимо сегментировать сеть, выделив для всех IoT-устройств отдельные VLAN, и развернуть межсетевые экраны веб-приложений (WAF). Системным администраторам следует настроить мониторинг запуска подозрительных процессов и заблокировать известную инфраструктуру C2 на уровне сетевого шлюза.
Изображение носит иллюстративный характер
Уязвимость, получившая идентификатор CVE-2025-55182 и название React2Shell, оценивается как критическая с максимальным баллом 10.0 по шкале CVSS. Она служит точкой первоначального входа для злоумышленников, позволяя им добиваться удаленного выполнения кода (RCE) на уязвимых устройствах. Ранее на активное использование React2Shell данным ботнетом указывали отчеты компаний Darktrace, Kaspersky и VulnCheck, предупреждая о серьезности угрозы для корпоративных и частных сетей.
Согласно статистическим данным Shadowserver Foundation от 31 декабря 2025 года, масштаб заражения оценивается как глобальный. Всего в мире обнаружено около 90 300 уязвимых экземпляров, доступных для атаки. Географическое распределение целей демонстрирует явную концентрацию в США, где расположено 68 400 систем, подверженных риску компрометации. Это делает американский сегмент интернета основной мишенью текущей волны атак.
Основной анализ кампании, проведенный исследователями CloudSEK, раскрывает историю развития RondoDox с момента его появления в начале 2025 года. Операторы ботнета последовательно расширяли свой арсенал, добавляя известные N-day уязвимости безопасности, такие как CVE-2023-1389 и CVE-2025-24893. Первая фаза операции, проходившая с марта по апрель 2025 года, ограничивалась начальной разведкой и ручным сканированием сетей на наличие брешей.
Вторая фаза активности, длившаяся с апреля по июнь 2025 года, характеризовалась ежедневным массовым зондированием целей. В этот период под удар попадали веб-приложения на платформах WordPress, Drupal и Struts2, а также специфические IoT-устройства, например, роутеры Wavlink. Третий этап, начавшийся в июле и продолжавшийся до начала декабря 2025 года, ознаменовался переходом к ежечасным автоматизированным развертываниям вредоносного ПО в промышленных масштабах.
Техническая реализация атак в декабре 2025 года начинается со сканирования для выявления уязвимых экземпляров Next.js. Ключевым инструментом в цепочке заражения выступает вредоносный скрипт под названием «/nuts/bolts». Его функционал включает завершение работы конкурирующих вредоносных программ и майнеров криптовалюты, удаление известных ботнетов и пейлоадов на базе Docker, а также очистку системы от артефактов предыдущих кампаний и связанных с ними задач cron.
После зачистки конкурентов скрипт загружает основной бинарный файл бота с командно-контрольного сервера (C2). Для обеспечения постоянного присутствия в системе RondoDox настраивает механизмы персистентности, используя файл «/etc/crontab». Это гарантирует автоматический перезапуск вредоносного кода при перезагрузке сервера или попытках администратора остановить процесс.
Ботнет использует агрессивную тактику удержания контроля над зараженным устройством. Он непрерывно сканирует директорию «/proc» для перечисления всех запущенных исполняемых файлов. Каждые 45 секунд происходит принудительное завершение всех процессов, не входящих в белый список. Такой подход позволяет предотвратить повторное заражение устройства соперничающими хакерскими группировками.
Эксперты по безопасности настоятельно рекомендуют немедленно обновить Next.js до исправленной версии для закрытия уязвимости. Кроме того, необходимо сегментировать сеть, выделив для всех IoT-устройств отдельные VLAN, и развернуть межсетевые экраны веб-приложений (WAF). Системным администраторам следует настроить мониторинг запуска подозрительных процессов и заблокировать известную инфраструктуру C2 на уровне сетевого шлюза.
