A botnet RondoDox vem sendo utilizada para explorar a vulnerabilidade crítica React2Shell (
CVE-2025-55182
), infectando servidores Next.js vulneráveis com malware e mineradores de criptomoedas.
Identificada pela primeira vez pela Fortinet em julho de 2025, a RondoDox é uma botnet de grande escala que explora diversas falhas conhecidas (n-day) em ataques globais.
Em novembro, a VulnCheck detectou novas variantes da botnet que utilizam exploits para a
CVE-2025-24893
, uma vulnerabilidade crítica de execução remota de código (RCE) na plataforma XWiki.
Um relatório recente da empresa de cibersegurança CloudSEK destaca que, a partir de 8 de dezembro, a RondoDox iniciou varreduras em busca de servidores Next.js vulneráveis e, três dias depois, passou a implantar clientes da botnet nesses sistemas.
O React2Shell é uma vulnerabilidade de RCE que não exige autenticação e pode ser explorada por meio de uma única requisição HTTP.
Essa falha afeta todos os frameworks que implementam o protocolo React Server Components (RSC) ‘Flight’, incluindo o Next.js.
O exploit tem sido explorado por diversos grupos maliciosos para comprometer organizações.
Hackers norte-coreanos, por exemplo, usaram o React2Shell para distribuir uma família de malware chamada EtherRAT.
Até 30 de dezembro, a Shadowserver Foundation registrou mais de 94 mil ativos expostos na internet vulneráveis ao React2Shell.
Segundo a CloudSEK, a atividade da RondoDox em 2025 passou por três fases distintas:
- Reconhecimento e testes de vulnerabilidade, entre março e abril;
- Exploração automatizada de aplicações web, de abril a junho;
- Implantação em larga escala da botnet IoT, de julho até o presente.
Em relação ao React2Shell, os pesquisadores apontam que a exploração da vulnerabilidade pela RondoDox aumentou significativamente, com mais de 40 tentativas de exploit em apenas seis dias de dezembro.
Nessa fase, a botnet realiza ataques contínuos a dispositivos IoT, especialmente roteadores Linksys, Wavlink e outros modelos para consumidores e empresas, visando recrutar novos bots.
Após identificar servidores potencialmente vulneráveis, a RondoDox passou a implantar payloads que incluem um minerador de criptomoedas (/nuts/poop), um carregador e verificador da botnet (/nuts/bolts), além de uma variante do malware Mirai (/nuts/x86).
O componente ‘bolts’ tem a função de remover malwares concorrentes no host, garantir persistência via tarefa agendada (/etc/crontab) e encerrar processos não autorizados a cada 45 segundos.
Para se proteger contra as atividades da RondoDox, a CloudSEK recomenda que as empresas auditem e apliquem patches nas Server Actions do Next.js, isolem dispositivos IoT em VLANs dedicadas e monitorem processos suspeitos em execução.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...