RondoDox 僵尸网络利用关键的 React2Shell 漏洞劫持物联网设备和 Web 服务器

网络安全研究人员披露了一场持续九个月的持续性活动，针对物联网（IoT）设备和 Web 应用程序，将它们招募进名为 RondoDox 的僵尸网络。

截至 2025 年 12 月，该活动被观察到利用近期披露的 React2Shell（CVE-2025-55182，CVSS 评分：10.0）漏洞作为初始访问向量，CloudSEK 在分析中指出。

React2Shell 是对 React Server Components（RSC）和 Next.js 中的关键安全漏洞的命名，该漏洞可能允许未经身份验证的攻击者在受影响的设备上实现远程代码执行。

根据 Shadowserver 基金会的统计，截至 2025 年 12 月 31 日，约有 90,300 台实例仍然易受该漏洞影响，其中 68,400 台位于美国，其次是德国（4,300 台）、法国（2,800 台）和印度（1,500 台）。

RondoDox 于 2025 年初出现，通过加入新的 N 天安全漏洞扩大规模，包括 CVE-2023-1389 和 CVE-2025-24893。值得注意的是，React2Shell 被用于传播该僵尸网络的行为此前已被 Darktrace、Kaspersky 和 VulnCheck 强调。

RondoDox 僵尸网络活动在利用 CVE-2025-55182 之前被评估为经历了三个不同阶段——

• 2025 年 3 月至 4 月 — 初始侦察和手动漏洞扫描
• 2025 年 4 月至 6 月 — 对 WordPress、Drupal、Struts2 等 Web 应用以及 Wavlink 路由器等 IoT 设备进行每日大规模漏洞探测
• 2025 年 7 月至 12 月初 — 每小时自动化大规模部署

在 2025 年 12 月检测到的攻击中，威胁行为者据称先扫描以识别易受 Next.js 服务器影响的目标，随后尝试在受感染设备上放置加密货币矿工（"/nuts/poop"）、僵尸网络加载器和健康检查器（"/nuts/bolts"）以及 Mirai 僵尸网络变种（"/nuts/x86"）。

"/nuts/bolts" 旨在在下载主僵尸程序二进制文件之前终止竞争的恶意软件和加密货币矿工。该工具的一个变体被发现会删除已知僵尸网络、基于 Docker 的载荷、先前活动留下的痕迹以及相关的 cron 任务，同时通过在 "/etc/crontab" 中设置持久化来实现保留。

CloudSEK 表示："它每约 45 秒持续扫描 /proc，枚举运行的可执行文件并终止未列入白名单的进程，有效防止竞争行为者的重新感染。"

为降低此威胁带来的风险，建议组织尽快将 Next.js 更新至已修补的版本，将所有 IoT 设备划分到专用 VLAN，部署 Web 应用防火墙（WAF），监控可疑进程执行，并阻断已知的 C2 基础设施。