Investigadores de ciberseguridad han revelado detalles de una campaña de nueve meses de duración dirigida a dispositivos y aplicaciones web de Internet de las cosas (IoT) para incorporarlos a una botnet llamada RondoDox.
Desde diciembre de 2025, se ha observado actividad que explota la falla React2Shell recientemente revelada (CVE-2025-55182, puntuación CVSS: 10.0) como vector de acceso inicial, dijo CloudSEK en un análisis.
React2Shell es el nombre de una vulnerabilidad crítica en React Server Components (RSC) y Next.js que podría permitir a atacantes no autenticados ejecutar código de forma remota en dispositivos vulnerables.
Según las estadísticas de la Fundación Shadowserver, alrededor de 90.300 instancias todavía están afectadas por la vulnerabilidad al 31 de diciembre de 2025, de las cuales 68.400 se encuentran en EE. UU., seguido de Alemania (4.300), Francia (2.800) e India (1.500).
RondoDox, que se lanzó a principios de 2025, amplió su alcance al agregar nuevas vulnerabilidades N-Day a su arsenal, incluidas CVE-2023-1389 y CVE-2025-24893. Vale la pena señalar que Darktrace, Kaspersky y VulnCheck destacaron anteriormente el abuso de React2Shell para difundir la botnet.
Se estima que la campaña de la botnet RondoDox pasó por tres fases distintas antes de explotar CVE-2025-55182:
- Marzo – abril de 2025: exploración inicial y escaneo manual de vulnerabilidades
- Abril – junio de 2025: pruebas masivas diarias de vulnerabilidad de aplicaciones web como WordPress, Drupal y Struts2, así como de dispositivos IoT como enrutadores Wavlink
- Julio – principios de diciembre de 2025: implementación automatizada por horas a gran escala
En los ataques descubiertos en diciembre de 2025, los actores de amenazas supuestamente iniciaron escaneos para identificar servidores Next.js vulnerables, seguidos de intentos de colocar mineros de criptomonedas (“/nuts/poop”), un cargador de botnet y un verificador de estado (“/nuts/bolts”) y una variante de botnet Mirai (“/nuts/x86”) en dispositivos infectados.
“/nuts/bolts” está diseñado para eliminar el malware y los mineros de monedas de la competencia antes de descargar el binario del bot principal desde su servidor de comando y control (C2). Se descubrió que una variante de la herramienta elimina botnets conocidas, cargas útiles basadas en Docker, artefactos de campañas anteriores y trabajos cron asociados, al tiempo que establece la persistencia mediante /etc/crontab.
“Escanea continuamente /proc para enumerar los ejecutables en ejecución y finaliza los procesos no incluidos en la lista blanca cada aproximadamente 45 segundos, lo que previene eficazmente la reinfección por parte de actores competidores”, dijo CloudSEK.
Para mitigar el riesgo que representa esta amenaza, se recomienda a las organizaciones actualizar Next.js a una versión parcheada lo antes posible, segmentar todos los dispositivos IoT en VLAN dedicadas, implementar firewalls de aplicaciones web (WAF), monitorear la ejecución de procesos sospechosos y bloquear infraestructuras C2 conocidas.
About The Author
