RondoDox Botnet IoT-Angriffskampagne
Cybersicherheitsexperten haben eine äußerst hartnäckige Kampagne aufgedeckt, die seit etwa neun Monaten aktiv IoT-Geräte und Webanwendungen angreift. Ziel dieser Operation war es, anfällige Systeme in ein Botnetz namens RondoDox einzubinden. Dies zeugt von Geduld und operativer Reife der Angreifer.
Inhaltsverzeichnis
React2Shell: Der entscheidende Einstiegspunkt
Im Dezember 2025 beobachteten Forscher eine Kampagne, die React2Shell (CVE-2025-55182) als primären Zugriffsmechanismus ausnutzte. Diese kritische Schwachstelle mit einem CVSS-Wert von 10,0 betrifft React Server Components (RSC) und Next.js-Implementierungen. Ungepatcht ermöglicht sie die Ausführung von nicht authentifiziertem Remote-Code und gibt Angreifern somit die volle Kontrolle über exponierte Systeme.
Ausmaß der Exposition: Globale Auswirkungen
Die bis Ende Dezember 2025 gesammelten Telemetriedaten zeigen, dass weltweit noch immer rund 90.300 anfällige Systeme bestehen. Die meisten davon befinden sich in den Vereinigten Staaten und betreffen etwa 68.400 Systeme. Weitere stark betroffene Regionen sind Deutschland mit rund 4.300 Systemen, Frankreich mit 2.800 und Indien mit 1.500, was die globale Tragweite des Problems unterstreicht.
RondoDox erweitert sein Exploit-Arsenal
RondoDox, erstmals Anfang 2025 identifiziert, hat seine Fähigkeiten durch die Integration weiterer N-Tage-Schwachstellen in sein Exploitation-Toolkit stetig erweitert. Dazu gehören CVE-2023-1389 und CVE-2025-24893. Frühere Berichte hatten bereits vor der Verwendung von React2Shell durch das Botnetz gewarnt und damit einen Trend zur schnellen Ausnutzung neu entdeckter Sicherheitslücken verdeutlicht.
Drei Eskalationsphasen
Bevor die RondoDox-Kampagne CVE-2025-55182 als Waffe einsetzte, durchlief sie einen strukturierten Eskalationszyklus:
März–April 2025 : Gezielte Aufklärung gepaart mit manueller Schwachstellensuche und -prüfung.
April–Juni 2025 : Tägliche, groß angelegte Untersuchungen gängiger Webplattformen wie WordPress, Drupal und Struts2 sowie von IoT-Hardware, einschließlich Wavlink-Routern.
Juli bis Anfang Dezember 2025 : Vollautomatisierter, stündlicher Einsatz, der auf maximale Reichweite und Beständigkeit ausgelegt ist.
Angriffe im Dezember: Schadsoftware und Persistenz
Im Rahmen der im Dezember 2025 beobachteten Aktivitäten suchten Angreifer nach ungeschützten Next.js-Servern und versuchten, mehrere Schadkomponenten zu installieren. Dazu gehörten Kryptowährungs-Miner, ein Botnet-Loader und ein Systemzustandsprüfungsprogramm sowie eine Mirai-basierte Botnet-Variante, die speziell für x86-Systeme entwickelt wurde.
Eine Schlüsselkomponente, „/nuts/bolts“, dient der Verteidigung der Angreifer. Sie beendet systematisch konkurrierende Malware und Krypto-Miner, bevor sie die primäre Bot-Binärdatei aus ihrer Command-and-Control-Infrastruktur (C2) abruft. Eine identifizierte Variante säubert infizierte Hosts aggressiv, indem sie Spuren rivalisierender Botnetze, Docker-basierte Payloads, Überreste früherer Kampagnen und zugehörige Cronjobs entfernt und gleichzeitig durch Modifikationen an der Datei „/etc/crontab“ Persistenz herstellt.
Die Schadsoftware gewährleistet zudem Exklusivität, indem sie das /proc-Dateisystem kontinuierlich nach aktiven ausführbaren Dateien durchsucht und alle nicht auf der Whitelist stehenden Prozesse etwa alle 45 Sekunden beendet. Dieses Verhalten verhindert effektiv erneute Infektionsversuche durch andere Angreifer.
Risikominderung und Expositionsbegrenzung
Um der von RondoDox ausgehenden Bedrohung entgegenzuwirken, sollten Sicherheitsteams eine mehrschichtige Verteidigungsstrategie verfolgen:
- Aktualisieren Sie Next.js-Installationen umgehend auf vollständig gepatchte Versionen, um CVE-2025-55182 zu beheben.
- Um die seitliche Ausbreitung von IoT-Geräten einzuschränken, sollten diese in dedizierten VLANs isoliert werden.
- Implementieren Sie Web Application Firewalls (WAFs) und überwachen Sie kontinuierlich die Ausführung anomaler Prozesse.
- Proaktiv die bekannte Kommando- und Kontrollinfrastruktur des Botnetzes blockieren.
Zusammengenommen verringern diese Maßnahmen die Wahrscheinlichkeit einer Kompromittierung erheblich und tragen dazu bei, die Auswirkungen der laufenden Botnetzaktivität einzudämmen.
