Cybersecurity-onderzoekers hebben details bekendgemaakt van een aanhoudende negen maanden durende campagne die zich richt op Internet of Things (IoT)-apparaten en webapplicaties om ze in te schrijven in een botnet dat bekend staat als RondoDox.
Vanaf december 2025 is waargenomen dat de activiteit gebruik maakt van de onlangs onthulde React2Shell-fout (CVE-2025-55182, CVSS-score: 10,0) als een initiële toegangsvector, zei CloudSEK in een analyse.
React2Shell is de naam die is toegewezen aan een kritiek beveiligingsprobleem in React Server Components (RSC) en Next.js waardoor niet-geverifieerde aanvallers externe code kunnen uitvoeren op gevoelige apparaten.
Volgens statistieken van de Shadowserver Foundation zijn er op 31 december 2025 ongeveer 90.300 exemplaren gevoelig voor de kwetsbaarheid, waarvan 68.400 exemplaren zich in de VS bevinden, gevolgd door Duitsland (4.300), Frankrijk (2.800) en India (1.500).
RondoDox, dat begin 2025 opkwam, heeft zijn schaal uitgebreid door nieuwe N-day beveiligingskwetsbaarheden aan zijn arsenaal toe te voegen, waaronder CVE-2023-1389 en CVE-2025-24893. Het is vermeldenswaard dat het misbruik van React2Shell om het botnet te verspreiden eerder werd benadrukt door Darktrace, Kaspersky en VulnCheck.
Er wordt aangenomen dat de RondoDox-botnetcampagne drie verschillende fasen heeft doorlopen voorafgaand aan de exploitatie van CVE-2025-55182 –
- Maart – april 2025 – Eerste verkenning en handmatig scannen op kwetsbaarheden
- April – juni 2025 – Dagelijks massaal onderzoek naar de kwetsbaarheid van webapplicaties zoals WordPress, Drupal en Struts2, en IoT-apparaten zoals Wavlink-routers
- Juli – begin december 2025 – Geautomatiseerde inzet per uur op grote schaal
Bij de aanvallen die in december 2025 zijn gedetecteerd, zouden de bedreigingsactoren scans hebben gestart om kwetsbare Next.js-servers te identificeren, gevolgd door pogingen om cryptocurrency-miners (“/nuts/poop”), een botnet-lader en health checker (“/nuts/bolts”) en een Mirai-botnetvariant (“/nuts/x86”) op geïnfecteerde apparaten te plaatsen.
“/nuts/bolts” is ontworpen om concurrerende malware- en muntmijnwerkers te beëindigen voordat het belangrijkste binaire botbestand wordt gedownload van de command-and-control (C2)-server. Er is gevonden dat één variant van de tool bekende botnets, op Docker gebaseerde payloads, artefacten van eerdere campagnes en bijbehorende cron-jobs verwijdert, terwijl ook persistentie wordt ingesteld met behulp van “/etc/crontab.”
“Het scant continu /proc om actieve uitvoerbare bestanden op te sommen en doodt niet-op de witte lijst staande processen elke ~45 seconden, waardoor herinfectie door rivaliserende actoren effectief wordt voorkomen”, aldus CloudSEK.
Om het risico van deze dreiging te beperken, wordt organisaties geadviseerd om Next.js zo snel mogelijk bij te werken naar een gepatchte versie, alle IoT-apparaten in speciale VLAN’s te segmenteren, Web Application Firewalls (WAF’s) in te zetten, te monitoren op verdachte procesuitvoering en bekende C2-infrastructuur te blokkeren.
