Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Redes de bots Red de bots RondoDox

Red de bots RondoDox

Por Mezo en Redes de bots
Traducir a:

Las campañas de malware que aprovechan la botnet RondoDox han ampliado drásticamente su superficie de ataque, atacando ahora más de 50 vulnerabilidades de más de 30 proveedores. Los expertos en seguridad describen este enfoque como una "escopeta de exploits", lo que refleja el ataque indiscriminado a una amplia gama de infraestructuras expuestas a internet. Los sistemas afectados incluyen routers, grabadoras de vídeo digitales (DVR), grabadoras de vídeo en red (NVR), sistemas de CCTV, servidores web y muchos otros dispositivos conectados a la red.

Intrusiones tempranas y contexto histórico

La primera actividad notable de RondoDox se observó en julio de 2025, cuando investigadores documentaron ataques a DVR TBK y enrutadores Four-Faith. Estos dispositivos estaban siendo reclutados en una botnet diseñada para llevar a cabo ataques de denegación de servicio distribuido (DDoS) a través de los protocolos HTTP, UDP y TCP.

El 15 de junio de 2025 se detectó un intento de intrusión específico dirigido a los enrutadores TP-Link Archer a través de CVE-2023-1389, una falla explotada repetidamente desde su divulgación a fines de 2022. Estos incidentes resaltan la evolución continua de RondoDox, desde ataques oportunistas a un solo dispositivo hasta campañas más amplias y coordinadas.

Distribución ampliada mediante Loader-as-a-Service

RondoDox ha adoptado recientemente un modelo de cargador como servicio (LaaS), empaquetando su carga útil junto con el malware Mirai y Morte. Esta táctica permite a los atacantes distribuir múltiples amenazas simultáneamente, lo que dificulta la detección y la remediación.

Las características clave de esta campaña ampliada incluyen:

  • Uso de credenciales débiles, entradas no saneadas y CVE heredados para comprometer dispositivos
  • Orientación a enrutadores SOHO, dispositivos IoT y aplicaciones empresariales
  • Explotación multivectorial, que indica un cambio del oportunismo de un solo dispositivo al despliegue coordinado de botnets

Amplio arsenal de exploits

RondoDox utiliza actualmente casi 56 vulnerabilidades, 18 de las cuales permanecen sin identificadores CVE. Los sistemas explotados abarcan una amplia gama de proveedores, incluyendo:

D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion y Cisco.

Este creciente arsenal demuestra la creciente sofisticación de la botnet y su capacidad para explotar vulnerabilidades tanto conocidas como previamente no documentadas.

Implicaciones para la ciberseguridad

Las últimas campañas de RondoDox representan una evolución significativa en la explotación automatizada de redes. Al combinar operaciones de cargador como servicio con un conjunto ampliado de exploits, los atacantes están pasando de los ataques oportunistas a dispositivos individuales a operaciones estratégicas de botnets multivectoriales.

Los equipos de seguridad deben permanecer vigilantes, priorizando la reparación de vulnerabilidades conocidas, monitoreando la actividad sospechosa en la red e implementando herramientas de detección proactiva para mitigar el riesgo que plantean estas amenazas que evolucionan rápidamente.

Tendencias

Mas Visto

Cargando...