Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Redes de bots Campaña de ataque a IoT de la botnet RondoDox

Campaña de ataque a IoT de la botnet RondoDox

Por Mezo en Redes de bots
Traducir a:

Analistas de ciberseguridad han descubierto una campaña altamente persistente que ha durado aproximadamente nueve meses y que ha atacado activamente dispositivos del Internet de las Cosas (IoT) y aplicaciones web. El objetivo de esta operación ha sido reclutar sistemas vulnerables para una botnet denominada RondoDox, lo que demuestra paciencia y madurez operativa por parte de los atacantes.

React2Shell: El punto de entrada crítico

En diciembre de 2025, los investigadores observaron la campaña que explotaba React2Shell (CVE-2025-55182) como su principal mecanismo de acceso inicial. Esta vulnerabilidad crítica, con una puntuación CVSS de 10.0, afecta a las implementaciones de React Server Components (RSC) y Next.js. Sin parches, permite la ejecución remota de código sin autenticación, otorgando a los atacantes control total sobre los sistemas expuestos.

Exposición a escala: impacto global

La telemetría recopilada hasta finales de diciembre de 2025 indica que aproximadamente 90.300 instancias vulnerables siguen expuestas en todo el mundo. La mayoría se encuentran en Estados Unidos, lo que representa aproximadamente 68.400 sistemas. Otras regiones significativamente afectadas incluyen Alemania, con aproximadamente 4.300 instancias, Francia, con 2.800, e India, con 1.500, lo que subraya el alcance global del problema.

RondoDox evoluciona su arsenal de exploits

Identificado por primera vez a principios de 2025, RondoDox ha ampliado constantemente sus capacidades incorporando vulnerabilidades adicionales de día N a su conjunto de herramientas de explotación. Estas incluyen CVE-2023-1389 y CVE-2025-24893. Informes anteriores ya habían advertido sobre el uso de React2Shell por parte de la botnet, lo que pone de manifiesto una tendencia a la rápida instrumentalización de las vulnerabilidades recién descubiertas.

Tres fases de escalada

Antes de convertir CVE-2025-55182 en arma, la campaña RondoDox progresó a través de un ciclo de escalada estructurado:

Marzo-abril de 2025 : reconocimiento enfocado combinado con descubrimiento y pruebas manuales de vulnerabilidades.

Abril-junio de 2025 : sondeo diario a gran escala de plataformas web comunes como WordPress, Drupal y Struts2, junto con hardware de IoT, incluidos enrutadores Wavlink.

Julio-principios de diciembre de 2025 : Implementación totalmente automatizada, cada hora, diseñada para lograr el máximo alcance y persistencia.

Ataques de diciembre: cargas útiles y persistencia

Durante la actividad observada en diciembre de 2025, los actores de amenazas buscaron servidores Next.js expuestos e intentaron implementar múltiples componentes maliciosos. Estos incluían mineros de criptomonedas, un cargador de botnets y una utilidad de comprobación de estado, y una variante de botnet basada en Mirai y adaptada a sistemas x86.

Un componente clave, '/nuts/bolts', desempeña una función defensiva para los atacantes. Elimina sistemáticamente el malware y los mineros de monedas de la competencia antes de recuperar el binario principal del bot de su infraestructura de comando y control (C2). Una variante identificada limpia agresivamente los hosts infectados eliminando rastros de botnets rivales, cargas útiles basadas en Docker, restos de campañas anteriores y tareas cron asociadas, a la vez que establece persistencia mediante modificaciones en /etc/crontab.

El malware refuerza aún más la exclusividad escaneando continuamente el sistema de archivos /proc para identificar ejecutables activos y finalizando cualquier proceso no incluido en la lista blanca aproximadamente cada 45 segundos. Este comportamiento bloquea eficazmente los intentos de reinfección de otros actores de amenazas.

Reducir el riesgo y limitar la exposición

Para contrarrestar la amenaza que representa RondoDox, los equipos de seguridad deben adoptar una estrategia defensiva en capas:

  • Actualice rápidamente las implementaciones de Next.js a versiones completamente parcheadas que aborden CVE-2025-55182.
  • Aísle los dispositivos IoT dentro de VLAN dedicadas para limitar el movimiento lateral.
  • Implemente firewalls de aplicaciones web (WAF) y monitoree continuamente la ejecución de procesos anómalos.
  • Bloquear de forma proactiva la infraestructura de comando y control conocida asociada con la botnet.

En conjunto, estas medidas reducen significativamente la probabilidad de vulneración y ayudan a contener el impacto de la actividad constante de las botnets.

Tendencias

Alerta importante sobre estafas por correo...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que exigen atención urgente son el arma predilecta de los ciberdelincuentes. Es fundamental mantenerse alerta ante mensajes inesperados, especialmente aquellos que advierten sobre problemas con las cuentas o documentos recién publicados. Una de estas amenazas que circula en línea es la estafa por correo electrónico "Se están publicando facturas", una campaña...

Mas Visto

Cargando...