top of page

Botnet RondoDox explora falha crítica React2Shell (CVSS 10) para sequestrar dispositivos IoT e servidores web

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 1 de jan.
  • 2 min de leitura

Pesquisadores de cibersegurança revelaram uma campanha maliciosa persistente, com duração de cerca de nove meses, que tem como alvo dispositivos de Internet das Coisas (IoT) e aplicações web, recrutando esses sistemas para uma botnet conhecida como RondoDox. A operação ganhou novo fôlego a partir de dezembro de 2025, quando passou a explorar uma falha crítica recém-divulgada chamada React2Shell.


De acordo com análise da CloudSEK, o grupo hacker vem utilizando a vulnerabilidade CVE-2025-55182, que possui pontuação máxima de 10.0 no CVSS, como vetor inicial de acesso. Essa falha afeta componentes do React Server Components (RSC) e do Next.js, permitindo execução remota de código sem autenticação, um dos cenários mais graves em termos de segurança.


Dados da Shadowserver Foundation indicam que, até 31 de dezembro de 2025, cerca de 90.300 instâncias ainda permaneciam vulneráveis ao React2Shell. A maior concentração está nos Estados Unidos, com aproximadamente 68.400 sistemas, seguidos por Alemanha (4.300), França (2.800) e Índia (1.500).


Esse grande volume de sistemas expostos cria um terreno fértil para hackers, especialmente para botnets que buscam escala, como é o caso da RondoDox.


Identificada pela primeira vez no início de 2025, a RondoDox expandiu rapidamente suas capacidades ao incorporar falhas N-day já conhecidas, como CVE-2023-1389 e CVE-2025-24893. O uso do React2Shell para disseminar a botnet já havia sido apontado anteriormente por pesquisadores da Darktrace, Kaspersky e VulnCheck, reforçando a gravidade do cenário.


Segundo a CloudSEK, a campanha passou por três fases distintas antes de adotar o React2Shell:


Março–abril de 2025: reconhecimento inicial e varreduras manuais de vulnerabilidades


Abril–junho de 2025: exploração massiva diária de aplicações web como WordPress, Drupal e Struts2, além de dispositivos IoT como roteadores Wavlink


Julho–início de dezembro de 2025: automação completa, com implantações em larga escala e frequência horária


Nos ataques observados em dezembro de 2025, os invasores passaram a escanear servidores Next.js vulneráveis e, em seguida, instalar múltiplas cargas maliciosas. Entre elas estão miners de criptomoedas, um loader e verificador de integridade da botnet (/nuts/bolts) e até uma variante da botnet Mirai (/nuts/x86).


O módulo /nuts/bolts chama atenção por sua agressividade: ele remove outros malwares concorrentes, encerra coin miners rivais, apaga rastros de campanhas anteriores e cria persistência via /etc/crontab. Segundo os pesquisadores, o componente monitora continuamente os processos em execução e elimina qualquer atividade não autorizada a cada 45 segundos, dificultando a reinfecção por outros grupos hackers.


Para reduzir o risco, especialistas recomendam:


  • Atualizar imediatamente o Next.js para versões corrigidas;

  • Segmentar dispositivos IoT em VLANs dedicadas;

  • Implantar Web Application Firewalls (WAFs);

  • Monitorar execuções suspeitas de processos;

  • Bloquear infraestrutura conhecida de C2 (Command and Control).


Via - THN

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page