Компания CloudSEK обнаружила новую волну активности ботнета RondoDoX, проанализировав открытые логи серверов управления и контроля (C2, Command and Control), охватывающие девять месяцев. Эти данные документируют продолжительную кампанию автоматизированных атак на уязвимые веб-приложения и устройства интернета вещей (IoT), которая продолжалась с марта по декабрь 2025 года. Угрозы демонстрируют быстрое внедрение новых техник, не ограничиваясь развертыванием ботнетов, веб-шеллов и криптомайнеров, а также активно применяя свежие уязвимости, например, в Next.js.
Описание
Несмотря на то, что 10 декабря компания Darktrace сообщила об эксплуатации уязвимости React2Shell через данные своих подставных систем (honeypot), злоумышленники оперативно сменили инфраструктуру. Уже через три дня, 13 декабря, начали использоваться новые серверы C2, активные до сих пор. CloudSEK отслеживает эти логи несколько месяцев, заранее предупреждая клиентов, чьи технологические стеки совпадали с целевыми векторами атаки.
Анализ кампании: три фазы и эскалация угроз
В ходе рутинного сканирования вредоносной инфраструктуры платформа CloudSEK TRIAD обнаружила логгеры, используемые злоумышленниками. Сервер содержал логи управления ботнетом за последние 9 месяцев, что позволило получить представление об используемых векторах атак и инфраструктуре. Ключевые выводы включают три подтвержденные фазы активности, шесть серверов C2 с пересекающимися периодами работы и использование более 10 вариантов семейства вредоносного ПО Rondo. В декабре 2025 года доминирующим вектором стала эксплуатация уязвимости удаленного выполнения кода (RCE, Remote Code Execution) в Next.js.
Первая фаза, с марта по апрель 2025 года, представляла собой начальную разведку и тестирование уязвимостей. Она началась с единичных попыток 28 марта и переросла в систематическое сканирование 3 апреля, когда было зафиксировано более 80 попыток эксплуатации. Атакующие тестировали классические векторы, такие как SQL-инъекции, инъекции команд и десериализация в Java, а также нацеливались на уязвимости в Oracle WebLogic.
Во второй фазе, с апреля по июнь, акцент сместился на эксплуатацию веб-приложений. Злоумышленники массово атаковали системы управления контентом (CMS) и фреймворки, включая Drupal, Apache Struts2 и плагин WordPress Gravity Forms Unique ID. Параллельно началось целевое тестирование устройств IoT, в частности маршрутизаторов Wavlink, через инъекции команд в диагностические интерфейсы.
Третья фаза, с июля по декабрь, характеризуется активным развертыванием ботнета на устройствах IoT и переходом на новые уязвимости. В июле появилась инфраструктура ботнета Rondo с сервером C2 по адресу 38.59.219[.]27, развернувшая скрипты для компрометации маршрутизаторов Linksys. К августу кампания усилилась с использованием нового сервера C2 (74.194.191[.]52), через который было развернуто не менее 13 различных вариантов скрипта Rondo. Методы включали отравление NTP-серверов, злоупотребление диагностической командой ping и инъекции имени хоста.
В ноябре 2025 года активность продолжилась с новой инфраструктурой C2 (41.231.37[.]153 и 70.184.13[.]47). Ключевым поворотом стал декабрь, когда началась массовая эксплуатация уязвимости в Next.js Server Actions. В период с 13 декабря по настоящее время наблюдаются ежечасные атаки. Злоумышленники используют эту уязвимость для выполнения слепого RCE-тестирования и последующей загрузки вредоносных ELF-бинарных файлов.
Полезная нагрузка (payload) включает криптомайнер (/nuts/poop), фреймворк для ботнета (/nuts/bolts) и вариант Mirai (/nuts/x86). Фреймворк /nuts/bolts нацелен на обеспечение доминирования и долговременной устойчивости (persistence) на скомпрометированных хостах. Он агрессивно удаляет конкурирующее вредоносное ПО, артефакты предыдущих кампаний и обеспечивает постоянное присутствие через планировщик задач cron.
Риски для организаций и рекомендации по защите
Воздействие кампании широко. Организации с интернет-ориентированными маршрутизаторами, IP-камерами и сетевыми устройствами сталкиваются с автоматическими попытками взлома, что может привести к вовлечению устройств в ботнет, участию в DDoS-атаках и скрытому майнингу криптовалют. Предприятия, использующие уязвимые версии Next.js Server Actions, подвергаются критическому риску полного компрометации серверов. Многоэтапная цепочка атак начинается с взлома веб-приложений для получения первоначального доступа, что впоследствии может привести к хищению учетных данных и перемещению по сети для атаки на инфраструктуру IoT.
В качестве рекомендаций CloudSEK предлагает немедленный аудит всех приложений на Next.js с Server Actions и их обновление. Также критически важно сегментировать и усилить защиту устройств IoT, отключив удаленные интерфейсы управления и обновив прошивки. Необходимо развернуть межсетевые экраны веб-приложений (WAF) для блокировки шаблонов инъекций команд и внедрить блокировку известной инфраструктуры C2 на периметре сети. Кроме того, рекомендуется настроить поведенческий мониторинг для обнаружения признаков устойчивости, таких как подозрительное выполнение процессов из временных каталогов или установка прав 755/777 на бинарные файлы. Реализация архитектуры нулевого доверия для административных интерфейсов и налаживание непрерывного управления уязвимостями с жесткими сроками установки исправлений являются ключевыми мерами для предотвращения подобных угроз.
Индикаторы компрометации
IPv4
- 41.231.37.153
- 5.231.70.66
- 5.255.121.141
- 51.81.104.115
- 70.184.13.47
- 74.194.191.52
- 89.144.31.18
SHA256
- 50be5257678412f0810d46e0b0bc573eb65c6ce4617346c1527ff0dc9b7fc79e
- 858874057e3df990ccd7958a38936545938630410bde0c0c4b116f92733b1ddb
- 895f8dff9cd26424b691a401c92fa7745e693275c38caf6a6aff277eadf2a70b
- 8e0bc23a87d349e5a5356252ce17576093b7858fdf6ea84919fbdcb2e117168e
