Investigadores de ciberseguridad han revelado detalles de una campaña persistente de nueve meses de duración que se ha dirigido a dispositivos y aplicaciones web de Internet de las cosas (IoT) para inscribirlos en una botnet conocida como RondoDox.
A diciembre de 2025 se ha observado la actividad apalancando el recientemente divulgado reaccionar2shell (CVE-2025-55182, puntuación CVSS: 10.0) falla como vector de acceso inicial, CloudSEK dicho en un análisis.
React2Shell es el nombre asignado a una vulnerabilidad de seguridad crítica en React Server Components (RSC) y Next.js que podría permitir a atacantes no autenticados lograr la ejecución remota de código en dispositivos susceptibles.
Según las estadísticas de la Fundación Shadowserver, hay alrededor de 90.300 casos que permanecen susceptibles a la vulnerabilidad al 31 de diciembre de 2025, de los cuales 68.400 casos están ubicados en Estados Unidos, seguidos de Alemania (4.300), Francia (2.800) e India (1.500).
RondoDox, que surgió a principios de 2025, ha ampliado su escala al agregar nuevas vulnerabilidades de seguridad del día N a su arsenal, que incluyen CVE-2023-1389 y CVE-2025-24893. Vale la pena señalar que el abuso de React2Shell para difundir la botnet fue destacado anteriormente por rastro oscuro, Kasperskyy VulnCheck.
Se estima que la campaña de la botnet RondoDox pasó por tres fases distintas antes de la explotación de CVE-2025-55182:
- Marzo – abril de 2025: reconocimiento inicial y escaneo manual de vulnerabilidades
- Abril – junio de 2025: sondeo diario masivo de vulnerabilidades de aplicaciones web como WordPress, Drupal y Struts2, y dispositivos IoT como enrutadores Wavlink
- Julio – principios de diciembre de 2025: implementación automatizada por horas a gran escala
En los ataques detectados en diciembre de 2025, se dice que los actores de amenazas iniciaron escaneos para identificar servidores Next.js vulnerables, seguidos de intentos de colocar mineros de criptomonedas («/nuts/poop»), un cargador de botnet y un verificador de estado («/nuts/bolts»), y una variante de botnet Mirai («/nuts/x86») en dispositivos infectados.
«/nuts/bolts» está diseñado para acabar con el malware y los mineros de monedas de la competencia antes de descargar el binario del bot principal desde su servidor de comando y control (C2). Se ha descubierto que una variante de la herramienta elimina botnets conocidas, cargas útiles basadas en Docker, artefactos que quedaron de campañas anteriores y trabajos cron asociados, al mismo tiempo que configura la persistencia usando «/etc/crontab».
«Escanea continuamente /proc para enumerar los ejecutables en ejecución y finaliza los procesos no incluidos en la lista blanca cada ~45 segundos, previniendo efectivamente la reinfección por parte de actores rivales», dijo CloudSEK.
Para mitigar el riesgo que representa esta amenaza, se recomienda a las organizaciones actualizar Next.js a una versión parcheada lo antes posible, segmentar todos los dispositivos IoT en VLAN dedicadas, implementar firewalls de aplicaciones web (WAF), monitorear la ejecución de procesos sospechosos y bloquear la infraestructura C2 conocida.
Fuente