Botnet RondoDox
Les campagnes de malwares exploitant le botnet RondoDox ont considérablement étendu leur surface d'attaque, ciblant désormais plus de 50 vulnérabilités chez plus de 30 fournisseurs. Les experts en sécurité qualifient cette approche de « punaise d'exploit », reflétant le ciblage aveugle d'un large éventail d'infrastructures exposées à Internet. Les systèmes affectés incluent les routeurs, les enregistreurs vidéo numériques (DVR), les enregistreurs vidéo réseau (NVR), les systèmes de vidéosurveillance, les serveurs web et de nombreux autres appareils connectés au réseau.
Table des matières
Intrusions précoces et contexte historique
La première activité notable de RondoDox a été observée en juillet 2025, lorsque des chercheurs ont documenté des attaques contre des DVR TBK et des routeurs Four-Faith. Ces appareils étaient intégrés à un botnet conçu pour mener des attaques par déni de service distribué (DDoS) via les protocoles HTTP, UDP et TCP.
Une tentative d'intrusion spécifique a été détectée le 15 juin 2025, ciblant les routeurs TP-Link Archer via CVE-2023-1389, une faille exploitée à plusieurs reprises depuis sa divulgation fin 2022. Ces incidents mettent en évidence l'évolution continue de RondoDox, des attaques opportunistes sur un seul appareil vers des campagnes plus larges et plus coordonnées.
Distribution étendue via Loader-as-a-Service
RondoDox a récemment adopté un modèle de chargement en tant que service (LaaS), intégrant sa charge utile aux malwares Mirai et Morte. Cette tactique permet aux attaquants de diffuser plusieurs menaces simultanément, compliquant ainsi les efforts de détection et de remédiation.
Les principales caractéristiques de cette campagne élargie comprennent :
- Utilisation d'informations d'identification faibles, d'entrées non nettoyées et de CVE hérités pour compromettre les appareils
- Ciblage des routeurs SOHO, des appareils IoT et des applications d'entreprise
- Exploitation multi-vecteurs, signalant un passage de l'opportunisme à appareil unique au déploiement coordonné de botnets
Arsenal d’exploitation à grande échelle
RondoDox exploite désormais près de 56 vulnérabilités, dont 18 restent sans identifiant CVE. Les systèmes exploités proviennent d'un large éventail de fournisseurs, notamment :
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion et Cisco.
Cet arsenal croissant démontre la sophistication croissante du botnet et sa capacité à exploiter des vulnérabilités connues et non documentées auparavant.
Implications pour la cybersécurité
Les dernières campagnes RondoDox représentent une évolution significative dans l'exploitation automatisée des réseaux. En combinant des opérations de type « loader-as-a-service » à un ensemble d'exploits étendu, les attaquants dépassent les attaques opportunistes sur des appareils isolés pour se tourner vers des opérations stratégiques de botnet multi-vecteurs.
Les équipes de sécurité doivent rester vigilantes, en donnant la priorité à la correction des vulnérabilités connues, en surveillant les activités réseau suspectes et en déployant des outils de détection proactifs pour atténuer le risque posé par ces menaces en évolution rapide.
