RondoDox-Botnetz
Malware-Kampagnen, die das RondoDox-Botnetz ausnutzen, haben ihre Angriffsfläche dramatisch erweitert und zielen nun auf über 50 Schwachstellen bei mehr als 30 Anbietern ab. Sicherheitsexperten beschreiben diesen Ansatz als „Exploit Shotgun“, da er wahllos auf eine breite Palette internetfähiger Infrastrukturen abzielt. Zu den betroffenen Systemen gehören Router, digitale Videorekorder (DVRs), Netzwerk-Videorekorder (NVRs), CCTV-Systeme, Webserver und zahlreiche andere netzwerkverbundene Geräte.
Inhaltsverzeichnis
Frühe Eingriffe und historischer Kontext
Die erste nennenswerte RondoDox-Aktivität wurde im Juli 2025 beobachtet, als Forscher Angriffe auf TBK-DVRs und Four-Faith-Router dokumentierten. Diese Geräte wurden in ein Botnetz eingebunden, das Distributed-Denial-of-Service-Angriffe (DDoS) über die Protokolle HTTP, UDP und TCP ausführen sollte.
Am 15. Juni 2025 wurde ein gezielter Einbruchsversuch entdeckt, der auf TP-Link Archer-Router über CVE-2023-1389 abzielte, eine Schwachstelle, die seit ihrer Bekanntgabe Ende 2022 wiederholt ausgenutzt wurde. Diese Vorfälle verdeutlichen die anhaltende Entwicklung von RondoDox von opportunistischen Angriffen auf einzelne Geräte hin zu umfassenderen, besser koordinierten Kampagnen.
Erweiterter Vertrieb durch Loader-as-a-Service
RondoDox hat kürzlich ein Loader-as-a-Service-Modell (LaaS) eingeführt und verpackt seine Nutzlast zusammen mit der Schadsoftware Mirai und Morte. Diese Taktik ermöglicht es Angreifern, mehrere Bedrohungen gleichzeitig zu verbreiten, was die Erkennung und Behebung erschwert.
Zu den wichtigsten Merkmalen dieser erweiterten Kampagne gehören:
- Verwendung schwacher Anmeldeinformationen, nicht bereinigter Eingaben und veralteter CVEs zur Gefährdung von Geräten
- Ziel sind SOHO-Router, IoT-Geräte und Unternehmensanwendungen
- Multi-Vektor-Ausnutzung, die einen Wandel vom Opportunismus einzelner Geräte hin zum koordinierten Einsatz von Botnetzen signalisiert
Breites Exploit-Arsenal
RondoDox weist mittlerweile fast 56 Schwachstellen auf, von denen 18 noch immer keine CVE-Kennungen aufweisen. Die ausgenutzten Systeme stammen von zahlreichen Anbietern, darunter:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion und Cisco.
Dieses wachsende Arsenal zeigt die zunehmende Raffinesse des Botnetzes und seine Fähigkeit, sowohl bekannte als auch bisher nicht dokumentierte Schwachstellen auszunutzen.
Auswirkungen auf die Cybersicherheit
Die jüngsten RondoDox-Kampagnen stellen eine bedeutende Weiterentwicklung der automatisierten Netzwerkausnutzung dar. Durch die Kombination von Loader-as-a-Service-Operationen mit einem erweiterten Exploit-Set gehen Angreifer über opportunistische Angriffe auf einzelne Geräte hinaus und setzen auf strategische, multivektorielle Botnet-Operationen.
Sicherheitsteams müssen wachsam bleiben, dem Patchen bekannter Schwachstellen Priorität einräumen, auf verdächtige Netzwerkaktivitäten achten und proaktive Erkennungstools einsetzen, um das Risiko dieser sich schnell entwickelnden Bedrohungen zu mindern.
