Investigadores de ciberseguridad han revelado detalles de una campaña en curso de nueve meses dirigida a dispositivos y aplicaciones web de Internet de las cosas (IoT) para inscribirlos en una botnet conocida como RondoDox.
A diciembre de 2025, CloudSEK ha observado actividad aprovechando la falla recientemente revelada en React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) como vector de acceso inicial, dijo CloudSEK en su análisis.
React2Shell es el nombre que se le da a una vulnerabilidad de seguridad crítica en React Server Components (RSC) y Next.js. Esta vulnerabilidad podría permitir que un atacante no autenticado ejecute código remoto en un dispositivo susceptible.
Según estadísticas de la Fundación Shadowserver, al 31 de diciembre de 2025, aproximadamente 90.300 instancias seguían afectadas por esta vulnerabilidad, 68.400 de ellas en Estados Unidos, seguidas de Alemania (4.300), Francia (2.800) e India (1.500).
RondoDox, que surgió a principios de 2025, se ha expandido agregando nuevas vulnerabilidades de seguridad de día N a su arsenal, incluidas CVE-2023-1389 y CVE-2025-24893. Vale la pena señalar que Darktrace, Kaspersky y VulnCheck ya han detectado la explotación de React2Shell para difundir botnets.
Se estima que la campaña de la botnet RondoDox pasó por tres etapas diferentes antes de explotar CVE-2025-55182.
Marzo-abril de 2025: reconocimiento inicial y análisis manuales de vulnerabilidades Abril-junio de 2025: investigaciones diarias de vulnerabilidades a gran escala de aplicaciones web como WordPress, Drupal, Struts2 y dispositivos IoT como enrutadores Wavlink Julio-principios de diciembre de 2025: implementaciones automatizadas a gran escala realizadas cada hora
En un ataque detectado en diciembre de 2025, los atacantes supuestamente iniciaron un escaneo para identificar servidores Next.js vulnerables y luego intentaron colocar un minero de criptomonedas (‘/nuts/poop’), un cargador de botnet y un verificador de estado (‘/nuts/bolts’) y una variante de botnet Mirai (‘/nuts/x86’) en dispositivos infectados.
“/nuts/bolts” está diseñado para terminar con el malware y los mineros de monedas de la competencia antes de descargar el binario del bot principal desde un servidor de comando y control (C2). Se encontró que una variante de esta herramienta elimina botnets conocidas, cargas útiles basadas en Docker, artefactos dejados por campañas anteriores y trabajos cron asociados mientras se configura la persistencia usando ‘/etc/crontab’.
«Escanea continuamente /proc para enumerar los ejecutables en ejecución y elimina los procesos no incluidos en la lista blanca aproximadamente cada 45 segundos, previniendo efectivamente la reinfección por parte de los rivales», dijo CloudSEK.
Para reducir el riesgo que representa esta amenaza, recomendamos que las organizaciones actualicen Next.js a una versión parcheada lo antes posible, segmenten todos los dispositivos IoT en VLAN dedicadas, implementen un firewall de aplicaciones web (WAF), supervisen la ejecución de procesos sospechosos y bloqueen la infraestructura C2 conocida.
Source link
