СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.12.2025
#ИБ

RondoDoX: ботнет использует React2Shell для атак на веб‑приложения и IoT

Многоэтапная кампания ботнета RondoDoX, направленная на веб‑приложения и устройства Интернета вещей, охватывает период с марта по декабрь 2025 года. В отчёте зафиксировано использование ряда уязвимостей, в частности React2Shell, а также развертывание различных вредоносных полезных нагрузок — от компонентов ботнета до веб‑шеллов и криптомайнеров.

Ключевые наблюдения

  • Эксплуатация уязвимости React2Shell была задокументирована в рамках продолжающейся кампании.
  • Атаки задокументированы в журналах командования и контроля (C2), которые отражают автоматизированную активность с марта по декабрь 2025 года.
  • Вредоносные полезные нагрузки включают: компоненты ботнета, веб‑шеллы и криптомайнеры.
  • 10 декабря компания Darktrace сообщила об использовании уязвимости React2Shell, опираясь на телеметрию honeypot.
  • Через три дня после публикации этих данных операторы RondoDoX быстро изменили тактику и переключились на новые серверы командования и контроля.

Тактика и возможности злоумышленников

Журналы C2 демонстрируют высокую степень автоматизации и гибкости группы: злоумышленники не только эффективно эксплуатируют как известные, так и вновь обнаруженные уязвимости, но и оперативно изменяют инфраструктуру в ответ на разведывательные данные и усилия по обнаружению. Такой подход позволяет им:

  • быстро масштабировать атаки против неправильно сконфигурированных или незащищённых веб‑приложений и устройств IoT;
  • перенастраивать инфраструктуру C2 в короткие сроки;
  • разворачивать разные виды полезных нагрузок в зависимости от целей и возможностей заражённой среды.

Последствия и значимость

Непрерывное использование существующих и новых уязвимостей подчёркивает широкий спектр угроз, создаваемых RondoDoX. Деятельность группы представляет собой постоянную и эволюционирующую угрозу, которая ставит под удар устойчивость кибербезопасности в различных секторах. Этот кейс подчёркивает важность наблюдения за подобными кампаниями и поддержания защищённости веб‑приложений и IoT‑устройств.

Вывод

Зафиксированная кампания RondoDoX демонстрирует сочетание автоматизации, адаптивности и разнообразия используемых полезных нагрузок. Период активности с марта по декабрь 2025 года, документированная эксплуатация React2Shell и быстрый переход на новые C2‑серверы после раскрытия телеметрии со стороны Darktrace подчёркивают высокую оперативность и устойчивость этой группы к попыткам обнаружения и нейтрализации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: