В третьем квартале 2025 года японская система мониторинга сетевых угроз NICTER зафиксировала новые активности вредоносной программы (malware), известной как RondoDox. Этот ботнет, существующий уже несколько лет, продолжает развиваться. Основные нововведения включают усложненный механизм обновления, улучшенную обфускацию строк и добавление функционала для скрытого майнинга криптовалюты Monero. Аналитики отмечают, что эти изменения направлены на повышение живучести (persistence) вредоноса и его скрытности от систем обнаружения вторжений (IDS).
Описание
Обновление через командный центр (C2)
Архитектура управления RondoDox позволяет операторам ботнета отправлять шелл-команды на зараженные устройства через сервер управления (C2-сервер). Именно таким способом осуществляется обновление основной полезной нагрузки (payload). Полученная команда запускает процесс загрузки и выполнения оболочного скрипта. Этот скрипт, в свою очередь, скачивает с удаленного сервера исполняемый файл, соответствующий архитектуре процессора целевого устройства. Поддержка впечатляющего спектра архитектур, включая x86_64, ARM различных версий, MIPS, PowerPC и даже устаревшие SPARC и m68k, указывает на стремление злоумышленников охватить максимально широкий парк устройств, от серверов до встраиваемых систем и устаревшего оборудования.
Сервер для распространения обновлений, расположенный по IP-адресу 41[.]231[.]37[.]153, использует простейшую, но эффективную систему фильтрации. При обращении с обычного браузера он отдает HTML-страницу с видеороликом. Кнопка «Download» на этой странице не ведет к скачиванию вредоноса, а лишь включает звук у видео. Это классический прием, позволяющий скрыть истинную природу сервера от случайных проверок и автоматических сканеров.
Усложнение методов обфускации
Разработчики RondoDox уделили значительное внимание сокрытию внутренних строковых констант в коде вредоноса. Если ранее использовался простой XOR с одним байтом (0x21), то в новой версии внедрен многоступенчатый алгоритм шифрования. Он включает последовательное применение двух разных XOR-ключей, циклический битовый сдвиг, перестановку байтов в строке и несколько арифметических операций. Для декодирования аналитикам пришлось написать специальный скрипт на Python, который демонстрирует возросшую сложность обратной разработки (reverse engineering) этой угрозы.
Такое усложнение напрямую затрудняет статический анализ файла, маскирует сетевые сигнатуры и осложняет работу систем защиты, основанных на сигнатурном обнаружении. Это явный признак профессионализации авторов вредоносного ПО, которые адаптируются к современным средствам защиты.
Добавление модуля для скрытого майнинга
Наиболее примечательным нововведением стало расширение функционала RondoDox за счет модуля для скрытого майнинга. После заражения и запуска ботнет обращается к тому же серверу 41[.]231[.]37[.]153 и запрашивает файл с именем "softirq", также в вариантах для разных архитектур (например, "softirq.x86_64"). Анализ этого файла показал, что это слегка модифицированная версия популярного открытого майнера XMRig версии 6.24.0, собранного в октябре 2025 года.
Загруженный майнер запускается в отдельном процессе с заранее прописанными аргументами командной строки. Конфигурация указывает на пул для майнинга Monero по адресу 45[.]94[.]31[.]89:443 с использованием TLS-шифрования. Учетная запись для выплат зарегистрирована на кошелек с именем «react», а параметр "--randomx-1gb-pages" оптимизирует алгоритм майнинга RandomX для процессоров с поддержкой больших страниц памяти, повышая эффективность. Тестовый запрос к указанному пулу подтвердил его активную работу, что свидетельствует о реальной финансовой мотивации злоумышленников.
Таким образом, RondoDox превратился из потенциально многофункционального ботнета в инструмент для двойной монетизации. Злоумышленники могут не только продавать доступ к зараженным системам или использовать их в DDoS-атаках, но и получать пассивный доход от кражи вычислительных ресурсов для генерации криптовалюты. Это соответствует общей тенденции, когда киберпреступные группы стремятся диверсифицировать источники дохода.
Выводы и рекомендации
Обновление RondoDox демонстрирует классический путь эволюции угрозы: улучшение механизмов командного управления, внедрение более сложных методов противодействия анализу и добавление новой, финансово выгодной функции. Широкая поддержка архитектур делает угрозу актуальной для разнородных IT-инфраструктур.
Для защиты эксперты рекомендуют уделять внимание не только периметровой безопасности, но и мониторингу аномальной активности внутри сети. Необъяснимо высокое использование ресурсов центрального процессора на серверах или рабочих станциях может быть первым признаком работы скрытого майнера. Кроме того, необходимо регулярно обновлять системы, использовать принцип минимальных привилегий и внедрять решения для обнаружения и реагирования на угрозы, которые могут анализировать поведение процессов, а не только искать известные сигнатуры. Блокировка сетевых подключений к известным адресам C2-серверов и пулов для майнинга на уровне межсетевого экрана также является необходимой мерой предосторожности.
Индикаторы компрометации
IPv4 Port Combinations
- 45.125.66.100:8443
- 45.94.31.89:443
- 45.94.31.89:8443
SHA256
- 0a844c3added16ba55fc0db88afb9d87d9982f83471c954fc9f54d5b46d558b6
- 0c748b9e8bc6b5b4fe989df67655f3301d28ef81617b9cbe8e0f6a19d4f9b657
- 17f7ae49f8e81015b4ad26357507a65afc167c3d64e057ef68dc45b30ad51c3c
- 4b2afad3a4d1d0eb8a2b7c7773ff0631e34fbfcfb2bea6d7e66339b301a26912
- 5aca8f8372378483a5f18b884d2f5ee15a6110c08176816b8a9d9cf3e1a635cd
- 826fbd4b636f2b35253de1ec7bf904a561cf0616eeaaed0022ab4937299622f6
- d954df447abfeafc899580d9d985863b7045029c1c64fa7982857aebde535b0f
