Campañas de malware que distribuyen el RondoDox botnet ha ampliado su enfoque para explotar más de 50 vulnerabilidades en más de 30 proveedores.
la actividad, descrito como similar a un enfoque de «escopeta de explotación», ha señalado una amplia gama de infraestructura expuesta a Internet, incluidos enrutadores, grabadoras de video digital (DVR), grabadoras de video en red (NVR), sistemas CCTV, servidores web y varios otros dispositivos de red, según Trend Micro.
La empresa de ciberseguridad dijo que detectó un intento de intrusión RondoDox el 15 de junio de 2025, cuando los atacantes explotaron CVE-2023-1389una falla de seguridad en los enrutadores TP-Link Archer que ha ser objeto de explotación activa repetidamente desde que se reveló por primera vez a finales de 2022.
RondoDox fue documentado por primera vez por Fortinet FortiGuard Labs en julio de 2025, detallando ataques dirigidos a grabadoras de video digital (DVR) TBK y enrutadores Four-Faith para alistarlos en una botnet para llevar a cabo ataques distribuidos de denegación de servicio (DDoS) contra objetivos específicos utilizando los protocolos HTTP, UDP y TCP.
«Más recientemente, RondoDox amplió su distribución mediante el uso de una infraestructura de 'cargador como servicio' que empaqueta RondoDox con cargas útiles Mirai/Morte, lo que hace que la detección y la corrección sean más urgentes», afirmó Trend Micro.
El arsenal ampliado de exploits de RondoDox incluye casi cinco docenas de fallos de seguridad, de los cuales 18 no tienen un identificador CVE asignado. Las 56 vulnerabilidades abarcan varios proveedores como D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion y Cisco.
«La última campaña de botnet RondoDox representa una evolución significativa en la explotación automatizada de redes», añadió la empresa. «Es una señal clara de que la campaña está evolucionando más allá del oportunismo de un solo dispositivo hacia una operación de carga multivectorial».
A finales del mes pasado, CloudSEK reveló detalles de una botnet de carga como servicio a gran escala que distribuye cargas útiles de RondoDox, Mirai y Morte a través de enrutadores SOHO, dispositivos de Internet de las cosas (IoT) y aplicaciones empresariales mediante el uso de credenciales débiles, entradas no desinfectadas y CVE antiguos.
El desarrollo se produce cuando el periodista de seguridad Brian Krebs anotado que la botnet DDoS conocida como AISURU está «obteniendo la mayor parte de su potencia de fuego» de dispositivos IoT comprometidos alojados en proveedores de Internet estadounidenses como AT&T, Comcast y Verizon. Uno de los operadores de la botnet, Forky, supuestamente con sede en Sao Paulo, Brasil, y también está vinculado a un servicio de mitigación de DDoS llamado Botshield.
En los últimos meses, AISURU se ha convertido en una de las botnets más grandes y disruptivas, responsable de algunos de los ataques DDoS sin precedentes vistos hasta la fecha. Construida sobre los cimientos de Mirai, la botnet controla aproximadamente 300.000 hosts comprometidos en todo el mundo.
Los hallazgos también siguen al descubrimiento de una operación coordinada de botnet que involucra más de 100.000 direcciones IP únicas de no menos de 100 países dirigidas a servicios de Protocolo de escritorio remoto (RDP) en los EE. UU., según GreyNoise.
Se dice que la actividad comenzó el 8 de octubre de 2025, y la mayor parte del tráfico se originó en Brasil, Argentina, Irán, China, México, Rusia, Sudáfrica, Ecuador y otros.
«La campaña emplea dos vectores de ataque específicos: Ataques de tiempo de acceso web de RD y Enumeración de inicio de sesión del cliente web RDP – con la mayoría de las IP participantes compartiendo una huella digital TCP similar, lo que indica control centralizado», la firma de inteligencia de amenazas dicho.
Fuente