RondoDox botnet usa falha React2Shell para atacar IoT
RondoDox botnet está ativamente explorando a vulnerabilidade crítica React2Shell (CVE-2025-55182, pontuação CVSS 10.0) para sequestrar dispositivos de Internet das Coisas (IoT) e servidores web em todo o mundo, apontam pesquisadores da CloudSEK.
Campanha de nove meses e três fases
Descoberta no início de 2025, a RondoDox passou por três estágios bem definidos:
- março-abril/25 — reconhecimento manual de brechas;
- abril-junho/25 — varreduras diárias em WordPress, Drupal, Struts2 e roteadores Wavlink;
- julho-dezembro/25 — implantações automáticas horárias em grande escala.
Desde dezembro de 2025, o grupo foca na falha React2Shell, presente em React Server Components e Next.js, permitindo execução remota de código sem autenticação. De acordo com a Shadowserver Foundation, ainda existem 90.300 instâncias vulneráveis, 68.400 delas nos EUA, seguidas por Alemanha (4.300), França (2.800) e Índia (1.500).
Ferramentas de invasão e persistência
Após identificar um servidor Next.js vulnerável, os atacantes enviam três cargas: um minerador de criptomoeda (/nuts/poop), um loader e verificador de integridade (/nuts/bolts) e uma variante do botnet Mirai (/nuts/x86). O módulo /nuts/bolts encerra processos concorrentes, remove artefatos de campanhas anteriores, limpa cron jobs suspeitos e cria nova persistência via /etc/crontab. A cada 45 s, ele escaneia /proc e mata qualquer processo não incluído em sua lista branca, evitando que outros atacantes retomem o controle.
A botnet também incorpora vulnerabilidades N-day, como CVE-2023-1389 e CVE-2025-24893, ampliando o alcance do ataque. Especialistas de empresas como Darktrace, Kaspersky e VulnCheck já haviam alertado para o uso da React2Shell na expansão da RondoDox. Um panorama detalhado do impacto pode ser conferido no Tom’s Hardware, que acompanha a evolução das ameaças a dispositivos conectados.
Imagem: Internet
Recomendações para se proteger
Para mitigar o risco, a CloudSEK recomenda:
- atualizar o Next.js para a versão corrigida de imediato;
- segmentar IoT em VLANs dedicadas;
- implementar Web Application Firewall (WAF);
- monitorar processos suspeitos em servidores;
- bloquear endereços de comando e controle conhecidos.
Mantenha seu ambiente atualizado e seguros. Confira também nossa editoria de tecnologia para mais guias práticos sobre proteção de setups de alto desempenho.
Crédito da imagem: The Hacker News Fonte: The Hacker News


