Botnet RondoDox explora falha React2Shell para comprometer IoT e servidores Next.js

Campanha de nove meses passou a usar CVE-2025-55182 para execução remota de código, instalação de mineradores, carregadores de botnet e variante Mirai em dispositivos vulneráveis.

Componente	Dispositivos IoT, aplicações web e servidores Next.js expostos, com foco recente em React Server Components e Next.js afetados pela `CVE-2025-55182`.
Vetor	Varredura de instâncias vulneráveis seguida de tentativa de execução remota de código sem autenticação por meio da falha React2Shell.
Impacto	Instalação de minerador de criptomoeda, carregador de botnet, verificador de saúde e variante Mirai, além de remoção de malware concorrente e persistência via `crontab`.
Prioridade	Atualizar Next.js para versão corrigida, isolar IoT em VLANs dedicadas, aplicar WAF, monitorar processos suspeitos e bloquear infraestrutura C2 conhecida pela defesa.
Artefatos	Foram citados os artefatos `/nuts/poop`, `/nuts/bolts`, `/nuts/x86`, uso de `/proc` para enumeração de executáveis e persistência em `/etc/crontab`.
Escala	Em 31 de dezembro de 2025, havia cerca de 90.300 instâncias ainda suscetíveis, com 68.400 nos Estados Unidos, 4.300 na Alemanha, 2.800 na França e 1.500 na Índia.

Resumo técnico

A botnet RondoDox, observada desde o início de 2025, ampliou sua cadeia de comprometimento ao incorporar a falha React2Shell, rastreada como CVE-2025-55182, como vetor de acesso inicial contra servidores Next.js e ambientes que usam React Server Components. A vulnerabilidade recebeu pontuação CVSS 10.0 e é descrita como uma condição crítica que permite execução remota de código por atacantes não autenticados em instâncias suscetíveis. No contexto da campanha, esse acesso é usado para transformar sistemas expostos em nós operacionais de uma botnet, com instalação de componentes de mineração, carregamento de binários e implantação de uma variante Mirai.

A campanha é descrita como persistente e com duração aproximada de nove meses, mirando tanto dispositivos IoT quanto aplicações web. Antes de explorar React2Shell, a operação já havia incorporado outras falhas N-day ao repertório, incluindo CVE-2023-1389 e CVE-2025-24893. Esse padrão mostra uma operação orientada a volume: novas vulnerabilidades publicadas são rapidamente avaliadas como caminho de entrada, enquanto o operador mantém automação para varredura, implantação e manutenção de controle sobre equipamentos comprometidos.

Fluxo técnico

Nos ataques detectados em dezembro de 2025, a primeira etapa consistiu em varreduras para localizar servidores Next.js vulneráveis à React2Shell. Quando uma instância exposta aceitava o fluxo de exploração, a cadeia tentava entregar diferentes artefatos com funções separadas. O caminho /nuts/poop foi associado à tentativa de instalar mineradores de criptomoeda, enquanto /nuts/bolts aparece como carregador de botnet e verificador de saúde. O artefato /nuts/x86 foi relacionado à implantação de uma variante Mirai, indicando interesse em arquiteturas comuns em servidores e dispositivos conectados.

O componente /nuts/bolts cumpre papel central na manutenção da posição do atacante. Ele foi descrito como capaz de encerrar malware concorrente e mineradores já presentes no sistema antes de buscar o binário principal da botnet em um servidor de comando e controle. Uma variante também remove rastros de botnets conhecidas, cargas baseadas em Docker, artefatos deixados por campanhas anteriores e tarefas agendadas associadas a infecções prévias. Essa limpeza não é defensiva; ela aumenta a exclusividade do controle da RondoDox sobre o host comprometido e reduz a chance de competição por CPU, rede e persistência.

A persistência observada envolve alteração de /etc/crontab, o que sugere execução recorrente para restaurar ou manter componentes da botnet após reinicialização ou interferência parcial. Outro comportamento relevante é a varredura contínua de /proc para enumerar executáveis em execução. O processo elimina atividades fora de uma lista permitida em intervalos aproximados de 45 segundos, mecanismo que dificulta reinfecção por operadores rivais e também pode afetar ferramentas legítimas se o sistema comprometido estiver em estado instável. Para defesa, esse detalhe é importante porque combina sinais de endpoint, integridade de agendamentos e comportamento anômalo de encerramento de processos.

Superfície afetada

A superfície exposta inclui servidores Next.js e aplicações que usam React Server Components quando permanecem em versões suscetíveis à CVE-2025-55182. O risco não está limitado a servidores tradicionais: a operação RondoDox também mira dispositivos IoT e aplicações web diversas, e seu histórico de 2025 incluiu sondagem de plataformas como WordPress, Drupal, Struts2 e roteadores Wavlink. Isso indica que ambientes híbridos, nos quais aplicações web, equipamentos de borda e dispositivos conectados convivem com diferentes níveis de atualização, são mais propensos a acumular pontos de entrada aproveitáveis.

A quantidade de instâncias suscetíveis ainda era significativa no fim de dezembro de 2025. A estimativa citada apontava aproximadamente 90.300 sistemas vulneráveis em 31 de dezembro, com maior concentração nos Estados Unidos, seguidos por Alemanha, França e Índia. O número não confirma comprometimento de todos esses ativos, mas delimita uma superfície de exploração viável para operadores que realizam varredura em massa. Em operações de botnet, esse tipo de distribuição geográfica também aumenta a resiliência da infraestrutura maliciosa, pois os nós comprometidos ficam espalhados por provedores, redes corporativas e ambientes de hospedagem diferentes.

Servidores Next.js expostos à internet e vulneráveis à React2Shell.
Aplicações baseadas em React Server Components suscetíveis à execução remota de código sem autenticação.
Dispositivos IoT e aplicações web já visados pela RondoDox em fases anteriores da campanha.
Ambientes com atualização atrasada, segmentação fraca e baixa visibilidade de processos em execução.

Hunting e telemetria

A investigação defensiva deve começar pela exposição externa. Inventários de ativos precisam identificar instâncias Next.js publicamente acessíveis, confirmar se usam componentes afetados e verificar se a atualização corrigida já foi aplicada. Em paralelo, logs de aplicação e de WAF devem ser revisados para detectar padrões de varredura e requisições anômalas compatíveis com tentativa de exploração de execução remota. Como o contexto cita scans direcionados a servidores Next.js, picos de erros, requisições incomuns para rotas de aplicação e tráfego repetitivo vindo de origens distribuídas devem receber prioridade de análise.

No endpoint, os sinais mais úteis estão nos artefatos e no comportamento. A presença ou tentativa de acesso a caminhos como /nuts/poop, /nuts/bolts e /nuts/x86 deve ser tratada como indicador forte de atividade relacionada à campanha. Alterações em /etc/crontab, execução recorrente de binários desconhecidos, processos de mineração e encerramento repetido de processos fora de um padrão operacional esperado também são relevantes. A enumeração constante de /proc e a eliminação de processos em intervalos curtos podem aparecer como instabilidade, desaparecimento de agentes, queda de serviços auxiliares ou reinício inesperado de componentes de segurança.

Na camada de rede, a defesa deve procurar conexões de saída para infraestrutura C2 conhecida internamente pelas equipes de inteligência, sem depender de uma lista pública ampla de indicadores. Como o contexto não fornece domínios ou endereços específicos, a abordagem mais segura é correlacionar tráfego de hosts vulneráveis com downloads de binários, conexões periódicas para destinos raros, aumento de tráfego após exploração e comunicação de dispositivos IoT que normalmente não deveriam acessar serviços externos desconhecidos. Essa correlação reduz falsos positivos e evita transformar ausência de IoC estático em ausência de comprometimento.

Requisições suspeitas contra servidores Next.js expostos, especialmente em ativos ainda não corrigidos.
Criação ou modificação incomum de entradas em /etc/crontab após atividade web anômala.
Processos associados a mineração de criptomoeda, carregadores desconhecidos ou binários compatíveis com botnet.
Acesso ou tentativa de gravação dos artefatos /nuts/poop, /nuts/bolts e /nuts/x86.
Encerramento repetido de processos e varredura frequente de /proc em hosts web ou dispositivos IoT.

Mitigação

A primeira ação é corrigir servidores Next.js afetados pela React2Shell, validando que a versão em produção contém a correção aplicável para CVE-2025-55182. A atualização deve ser acompanhada de revisão de exposição externa, pois a existência de instâncias públicas não inventariadas aumenta a janela de exploração. Quando a correção imediata não for possível, controles compensatórios devem reduzir a superfície: WAF com regras específicas para tráfego anômalo, restrição de acesso a aplicações administrativas e monitoramento reforçado de processos e criação de tarefas agendadas.

Dispositivos IoT devem ser segmentados em VLANs dedicadas, com políticas de saída restritivas. A segmentação não elimina a vulnerabilidade, mas limita a capacidade de um nó comprometido alcançar outros segmentos, baixar binários adicionais ou participar de comunicação persistente com comando e controle. Em ambientes onde IoT e aplicações web compartilham redes planas, uma infecção desse tipo tende a se espalhar operacionalmente por falta de isolamento, mesmo quando a falha inicial está em um componente específico.

Para contenção, hosts com indícios de RondoDox devem ser isolados, preservando evidências de processo, tarefas agendadas, binários recentes e logs de aplicação antes da reconstrução. Remover apenas o processo visível pode ser insuficiente, porque o carregador foi descrito com persistência e capacidade de baixar o binário principal novamente. A resposta deve incluir eliminação de artefatos, revisão de crontab, bloqueio de destinos C2 conhecidos pela organização, atualização do componente vulnerável e validação posterior de que não há reinício automático de binários suspeitos.

Atualizar Next.js e componentes afetados pela CVE-2025-55182 para versões corrigidas.
Aplicar WAF e regras de detecção para tentativas de exploração e downloads de binários após requisições web suspeitas.
Isolar dispositivos IoT em VLANs próprias e restringir tráfego de saída para destinos não autorizados.
Revisar /etc/crontab, processos ativos e artefatos recentes em hosts com sinais de exploração.
Bloquear infraestrutura C2 conhecida pelas equipes internas e validar se o host não restabelece comunicação após limpeza.

Botnet RondoDox explora falha React2Shell para comprometer IoT e servidores Next.js

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Botnet RondoDox explora falha React2Shell para comprometer IoT e servidores Next.js

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato