Se ha observado que la botnet RondoDox explota la falla crítica React2Shell (CVE-2025-55182) para infectar servidores Next.js vulnerables con malware y criptomineros.
RondoDox, documentado por primera vez por Fortinet en julio de 2025, es una botnet a gran escala que apunta a múltiples fallas de n días en ataques globales. En noviembre, VulnCheck detectó nuevas variantes de RondoDox que presentaba exploits para CVE-2025-24893, una vulnerabilidad crítica de ejecución remota de código (RCE) en la plataforma XWiki.
Un nuevo informe de la empresa de ciberseguridad CloudSEK señala que RondoDox comenzó a buscar servidores Next.js vulnerables el 8 de diciembre y comenzó a implementar clientes de botnet tres días después.
React2Shell es un ejecución remota de código no autenticado Vulnerabilidad que puede explotarse a través de una única solicitud HTTP y afecta a todos los marcos que implementan el protocolo 'Flight' de React Server Components (RSC), incluido Next.js.
La falla ha sido aprovechada por varios actores de amenazas para violar múltiples organizaciones. Los piratas informáticos norcoreanos aprovecharon React2Shell para implementar una nueva familia de malware llamada ÉterRAT.
Al 30 de diciembre, la Fundación Shadowserver informa haber detectado más de 94.000 activos expuestos a Internet vulnerable a React2Shell.
NubeSEK dice que RondoDox ha pasado por tres fases operativas distintas este año:
- Pruebas de reconocimiento y vulnerabilidad de marzo a abril de 2025
- Explotación automatizada de aplicaciones web de abril a junio de 2025
- Despliegue de botnets IoT a gran escala desde julio hasta hoy
Con respecto a React2Shell, los investigadores informan que RondoDox ha centrado significativamente su explotación en torno a la falla últimamente, lanzando más de 40 intentos de explotación en seis días en diciembre.
Durante esta fase operativa, la botnet realiza oleadas de explotación de IoT cada hora dirigidas a Linksys, Wavlink y otros enrutadores de consumidores y empresas para inscribir nuevos bots.
Después de sondear servidores potencialmente vulnerables, CloudSEK dice que RoundDox comenzó a implementar cargas útiles que incluían un minero de monedas (/nuts/poop), un cargador de botnet y un verificador de estado (/nuts/bolts), y una variante de Mirai (/nuts/x86).
El componente 'bolts' elimina del host el malware de botnet competidor, impone la persistencia a través de /etc/crontab y finaliza los procesos no incluidos en la lista blanca cada 45 segundos, dicen los investigadores.
CloudSEK proporciona un conjunto de recomendaciones para que las empresas se protejan contra esta actividad de RondoDox, entre ellas auditar y parchear las acciones del servidor Next.js, aislar dispositivos IoT en LAN virtuales dedicadas y monitorear la ejecución de procesos sospechosos.
¡Es temporada de presupuesto! Más de 300 CISO y líderes de seguridad han compartido cómo planifican, gastan y priorizan para el próximo año. Este informe recopila sus conocimientos, lo que permite a los lectores comparar estrategias, identificar tendencias emergentes y comparar sus prioridades de cara al 2026.
Descubra cómo los principales líderes están convirtiendo la inversión en un impacto mensurable.
