Mạng botnet RondoDox khai thác lỗ hổng nghiêm trọng React2Shell để chiếm quyền

[T-800]

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch kéo dài chín tháng nhằm vào các thiết bị Internet vạn vật (IoT) và các ứng dụng web để đưa chúng vào một mạng botnet có tên là RondoDox.

Tính đến tháng 12 năm 2025, hoạt động này được quan sát thấy đang lợi dụng lỗ hổng React2Shell (CVE-2025-55182, điểm CVSS: 10.0) được phát hiện gần đây như một phương thức truy cập ban đầu, CloudSEK cho biết trong một phân tích.

React2Shell là tên gọi của một lỗ hổng bảo mật nghiêm trọng trong React Server Components (RSC) và Next.js, có thể cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên các thiết bị dễ bị tổn thương.

Theo số liệu thống kê từ Shadowserver Foundation, tính đến ngày 31 tháng 12 năm 2025, có khoảng 90.300 máy chủ vẫn dễ bị tổn thương bởi lỗ hổng này, trong đó 68.400 máy chủ nằm ở Mỹ, tiếp theo là Đức (4.300), Pháp (2.800) và Ấn Độ (1.500).

RondoDox, xuất hiện vào đầu năm 2025, đã mở rộng quy mô bằng cách bổ sung thêm các lỗ hổng bảo mật N-day mới vào kho vũ khí của mình, bao gồm CVE-2023-1389 và CVE-2025-24893. Điều đáng chú ý là việc lạm dụng React2Shell để phát tán mạng botnet đã được Darktrace, Kaspersky và VulnCheck cảnh báo trước đó.

Chiến dịch botnet RondoDox được đánh giá là đã trải qua ba giai đoạn khác nhau trước khi khai thác lỗ hổng CVE-2025-55182:

    Tháng 3 - Tháng 4 năm 2025 - Khảo sát ban đầu và quét lỗ hổng bảo mật thủ công
    Tháng 4 - Tháng 6 năm 2025 - Tiến hành dò tìm lỗ hổng bảo mật hàng loạt hàng ngày đối với các ứng dụng web như WordPress, Drupal và Struts2, cũng như các thiết bị IoT như bộ định tuyến Wavlink.
    Tháng 7 - đầu tháng 12 năm 2025 - Triển khai tự động theo giờ trên quy mô lớn

Trong các cuộc tấn công được phát hiện vào tháng 12 năm 2025, các tác nhân đe dọa được cho là đã tiến hành quét để xác định các máy chủ Next.js dễ bị tổn thương, sau đó cố gắng cài đặt phần mềm khai thác tiền điện tử ("/nuts/poop"), trình tải và kiểm tra sức khỏe của botnet ("/nuts/bolts"), và một biến thể của botnet Mirai ("/nuts/x86") lên các thiết bị bị nhiễm.

Công cụ "/nuts/bolts" được thiết kế để tiêu diệt các phần mềm độc hại và phần mềm khai thác tiền điện tử cạnh tranh trước khi tải xuống tệp nhị phân chính của bot từ máy chủ điều khiển (C2). Một biến thể của công cụ này được phát hiện có khả năng loại bỏ các mạng botnet đã biết, các payload dựa trên Docker, các dấu vết còn sót lại từ các chiến dịch trước đó và các tác vụ cron liên quan, đồng thời thiết lập khả năng duy trì hoạt động bằng cách sử dụng "/etc/crontab".

"Nó liên tục quét thư mục /proc để liệt kê các tệp thực thi đang chạy và tắt các tiến trình không nằm trong danh sách cho phép cứ sau khoảng 45 giây, giúp ngăn chặn hiệu quả việc tái nhiễm bởi các tác nhân đối thủ", CloudSEK cho biết.

Để giảm thiểu rủi ro do mối đe dọa này gây ra, các tổ chức được khuyến cáo nên cập nhật Next.js lên phiên bản đã được vá lỗi càng sớm càng tốt, phân tách tất cả các thiết bị IoT vào các VLAN chuyên dụng, triển khai Tường lửa ứng dụng web (WAF), giám sát việc thực thi các tiến trình đáng ngờ và chặn các cơ sở hạ tầng C2 đã biết.