Investigadores de ciberseguridad han revelado detalles de una campaña persistente de nueve meses de duración que se ha dirigido a dispositivos y aplicaciones web de Internet de las cosas (IoT) para inscribirlos en una botnet conocida como RondoDox.
A diciembre de 2025, se ha observado que la actividad aprovecha la error recientemente revelada de React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) como vector de paso auténtico, dijo CloudSEK en un exploración.
React2Shell es el nombre asignado a una vulnerabilidad de seguridad crítica en React Server Components (RSC) y Next.js que podría permitir a atacantes no autenticados conseguir la ejecución remota de código en dispositivos susceptibles.
Según las estadísticas de la Fundación Shadowserver, hay más o menos de 90.300 instancias que siguen siendo susceptibles a la vulnerabilidad al 31 de diciembre de 2025, de las cuales 68.400 instancias están ubicadas en los EE. UU., seguidas por Alemania (4.300), Francia (2.800) e India (1.500).
RondoDox, que surgió a principios de 2025, amplió su escalera al amplificar nuevas vulnerabilidades de seguridad de día N a su cantera, incluidas CVE-2023-1389 y CVE-2025-24893. Vale la pena señalar que Darktrace, Kaspersky y VulnCheck destacaron anteriormente el desmán de React2Shell para difundir la botnet.
Se considera que la campaña de la botnet RondoDox pasó por tres fases distintas antaño de la explotación de CVE-2025-55182:
- Marzo – abril de 2025: examen auténtico y escaneo manual de vulnerabilidades
- Abril – junio de 2025: medición diario masivo de vulnerabilidades de aplicaciones web como WordPress, Drupal y Struts2, y dispositivos IoT como enrutadores Wavlink
- Julio – principios de diciembre de 2025: implementación automatizada por horas a gran escalera
En los ataques detectados en diciembre de 2025, se dice que los actores de amenazas iniciaron escaneos para identificar servidores Next.js vulnerables, seguidos de intentos de colocar mineros de criptomonedas (“/nuts/poop”), un cargador de botnet y un verificador de estado (“/nuts/bolts”), y una modificación de botnet Mirai (“/nuts/x86”) en dispositivos infectados.
“/nuts/bolts” está diseñado para matar con el malware y los mineros de monedas de la competencia antaño de descargar el binario del bot principal desde su servidor de comando y control (C2). Se ha descubierto que una modificación de la útil elimina botnets conocidas, cargas bártulos basadas en Docker, artefactos que quedaron de campañas anteriores y trabajos cron asociados, al mismo tiempo que configura la persistencia usando “/etc/crontab”.
“Escanea continuamente /proc para enumerar los ejecutables en ejecución y finaliza los procesos no incluidos en la tira blanca cada ~45 segundos, previniendo efectivamente la reinfección por parte de actores rivales”, dijo CloudSEK.
Para mitigar el aventura que representa esta amenaza, se recomienda a las organizaciones renovar Next.js a una traducción parcheada lo antaño posible, segmentar todos los dispositivos IoT en VLAN dedicadas, implementar firewalls de aplicaciones web (WAF), monitorear la ejecución de procesos sospechosos y incomunicar la infraestructura C2 conocida.
