Devis de remise multi-licences
Données concernant les menaces Botnets Campagne d'attaque IoT du botnet RondoDox

Campagne d'attaque IoT du botnet RondoDox

Par Mezo en Botnets
Se traduisent par :

Des analystes en cybersécurité ont mis au jour une campagne particulièrement persistante, d'une durée d'environ neuf mois, ciblant activement les objets connectés (IoT) et les applications web. L'objectif de cette opération était d'enrôler des systèmes vulnérables dans un réseau de zombies baptisé RondoDox, témoignant ainsi de la patience et de la maturité opérationnelle des attaquants.

React2Shell : Le point d’entrée essentiel

En décembre 2025, des chercheurs ont observé que la campagne exploitait React2Shell (CVE-2025-55182) comme principal mécanisme d'accès initial. Cette vulnérabilité critique, notée 10.0 sur CVSS, affecte les composants serveur React (RSC) et les implémentations de Next.js. Non corrigée, elle permet l'exécution de code à distance sans authentification, offrant ainsi aux attaquants un contrôle total sur les systèmes exposés.

Exposition à grande échelle : Impact mondial

Les données télémétriques collectées jusqu'à fin décembre 2025 indiquent qu'environ 90 300 instances vulnérables restent exposées dans le monde. La majorité se situe aux États-Unis, représentant environ 68 400 systèmes. Parmi les autres régions fortement touchées figurent l'Allemagne (environ 4 300 instances), la France (2 800) et l'Inde (1 500), ce qui souligne l'ampleur mondiale du problème.

RondoDox fait évoluer son arsenal d’exploits

Identifié début 2025, RondoDox a progressivement étendu ses capacités en intégrant de nouvelles vulnérabilités N-day à son arsenal d'exploitation, notamment CVE-2023-1389 et CVE-2025-24893. Des rapports antérieurs avaient déjà mis en garde contre l'utilisation de React2Shell par ce botnet, soulignant une tendance à l'exploitation rapide des failles nouvellement découvertes.

Trois phases d’escalade

Avant d'utiliser la vulnérabilité CVE-2025-55182 comme arme, la campagne RondoDox a progressé selon un cycle d'escalade structuré :

Mars-avril 2025 : Reconnaissance ciblée associée à la découverte et aux tests manuels des vulnérabilités.

Avril-juin 2025 : Sondage quotidien à grande échelle des plateformes web courantes telles que WordPress, Drupal et Struts2, ainsi que du matériel IoT, y compris les routeurs Wavlink.

Juillet – début décembre 2025 : Déploiement entièrement automatisé, à l’heure, conçu pour une portée et une persistance maximales.

Attaques de décembre : charges utiles et persistance

Lors de l'activité observée en décembre 2025, des acteurs malveillants ont recherché des serveurs Next.js exposés et tenté de déployer plusieurs composants malveillants. Parmi ceux-ci figuraient des mineurs de cryptomonnaie, un chargeur de botnet et un utilitaire de vérification de l'état, ainsi qu'une variante de botnet basée sur Mirai et adaptée aux systèmes x86.

Un composant clé, « /nuts/bolts », joue un rôle défensif pour les attaquants. Il élimine systématiquement les logiciels malveillants concurrents et les mineurs de cryptomonnaie avant de récupérer le fichier binaire principal du bot depuis son infrastructure de commande et de contrôle (C2). Une variante identifiée nettoie agressivement les hôtes infectés en supprimant les traces de botnets rivaux, les charges utiles basées sur Docker, les vestiges de campagnes antérieures et les tâches cron associées, tout en assurant sa persistance par des modifications du fichier /etc/crontab.

Le logiciel malveillant renforce son exclusivité en analysant en permanence le système de fichiers /proc afin d'identifier les exécutables actifs et en mettant fin à tout processus non autorisé environ toutes les 45 secondes. Ce comportement empêche efficacement les tentatives de réinfection par d'autres acteurs malveillants.

Réduire les risques et limiter l'exposition

Pour contrer la menace que représente RondoDox, les équipes de sécurité doivent adopter une stratégie défensive multicouche :

  • Mettez rapidement à niveau les déploiements Next.js vers des versions entièrement corrigées qui corrigent la vulnérabilité CVE-2025-55182.
  • Isolez les appareils IoT dans des VLAN dédiés afin de limiter les déplacements latéraux.
  • Mettez en œuvre des pare-feu d'applications Web (WAF) et surveillez en permanence l'exécution anormale des processus.
  • Bloquez de manière proactive l'infrastructure de commande et de contrôle connue associée au botnet.

Prises ensemble, ces mesures réduisent considérablement la probabilité de compromission et contribuent à contenir l'impact de l'activité en cours des réseaux de zombies.

Tendance

Le plus regardé

Chargement...