Один ботнет — 56 дыр. RondoDox расстреливает интернет эксплойтами: всё, что откликается, становится частью сети
NewsMakerВзломаны роутеры, камеры, серверы — 30+ вендоров под огнём.
Исследователи зафиксировали масштабную волну атак ботнета RondoDox , который использует метод «exploit shotgun» — буквально «стрельбу по всему, что движется». Такой подход означает, что злоумышленники автоматически тестируют десятки эксплойтов подряд, надеясь попасть в любую уязвимую цель. В результате под удар попали не менее 56 уязвимостей в оборудовании более чем 30 производителей — от домашних маршрутизаторов и систем видеонаблюдения до веб-серверов и промышленных контроллеров.
RondoDox впервые проявил себя в середине 2025 года. Его разработчики делают ставку на уязвимости командной инъекции в устройствах с открытым доступом из интернета. В последнее время ботнет активно заражает технику вредоносными программами на разных архитектурах Linux, включая варианты Mirai — легендарного кода, который превращает бытовые устройства в инструменты для массовых DDoS-атак и удалённого администрирования.
По данным специалистов Trend Micro Zero Day Initiative (ZDI), нынешняя кампания нацелена на широкий спектр инфраструктуры: маршрутизаторы Cisco, D-Link, Linksys, Netgear, веб-серверы Apache HTTP, IP-камеры Brickcom и CCTV-системы AVTECH. Некоторые из эксплуатируемых уязвимостей были впервые раскрыты на конкурсах Pwn2Own, где исследователи демонстрируют реальные цепочки взлома оборудования.
ZDI предупреждает, что подобные атаки представляют не только риск утечки данных, но и возможность длительного скрытого контроля над сетями компаний и организаций. Эксперты призывают сверить устройства с обновлённым перечнем пострадавших вендоров и конкретных CVE-идентификаторов, который включает десятки позиций. Среди наиболее опасных дыр фигурируют CVE-2024-3721 — критическая уязвимость в видеорегистраторах TBK DVR, позволяющая удалённое выполнение команд, и CVE-2024-12856 — аналогичная проблема в промышленных маршрутизаторах Four-Faith, также дающая злоумышленнику возможность выполнять произвольные команды.
Обе эти уязвимости ранее связывали с деятельностью RondoDox специалисты FortiGuard Labs. При этом точные масштабы заражения пока неизвестны: исследователи признают, что атаке могли подвергнуться любые устройства с доступом в интернет, особенно потребительские модели с минимальной защитой. Вредоносный загрузчик, связанный с этой кампанией, содержит многоархитектурные полезные нагрузки, рассчитанные на различные дистрибутивы Linux, включая маломощные IoT-платформы .
Атака началась 22 сентября, достигла пика на следующий день и прекратилась 24 сентября. По наблюдениям специалистов, всплеск активности имел характер «smash-and-grab» — быстрый захват максимального числа целей за короткое время. После этого активных следов кампании не фиксировалось, однако эксперты продолжают отслеживать инфраструктуру ботнета.
Пока что неизвестно, какая группировка стоит за RondoDox, и какие конкретные задачи выполняют заражённые устройства. Тем не менее исследователи отмечают, что ботнет стремительно эволюционирует: в последние недели он получил поддержку инфраструктуры loader-as-a-service — модели, при которой вредоносный загрузчик распространяется по подписке и автоматически устанавливает на устройство RondoDox вместе с вариантами Mirai и Morte.
Практически сразу после пика атак компания CloudSEK опубликовала собственное предупреждение. Аналитики зафиксировали «высокоорганизованную» операцию с использованием той же модели распределения и отметили рост активности на 230 % между июлем и августом. Под ударом оказались не только бытовые маршрутизаторы, но и корпоративные IoT-системы и серверные приложения, через которые вредоносная цепочка получает дальнейший доступ в сеть.
На данный момент специалисты ZDI продолжают мониторинг заражений и изучают связи RondoDox с другими ботнет-сетями . Одно ясно: даже кратковременная активность этой кампании показала, насколько уязвимы устройства, оставленные без обновлений и надёжной защиты.
Исследователи зафиксировали масштабную волну атак ботнета RondoDox , который использует метод «exploit shotgun» — буквально «стрельбу по всему, что движется». Такой подход означает, что злоумышленники автоматически тестируют десятки эксплойтов подряд, надеясь попасть в любую уязвимую цель. В результате под удар попали не менее 56 уязвимостей в оборудовании более чем 30 производителей — от домашних маршрутизаторов и систем видеонаблюдения до веб-серверов и промышленных контроллеров.
RondoDox впервые проявил себя в середине 2025 года. Его разработчики делают ставку на уязвимости командной инъекции в устройствах с открытым доступом из интернета. В последнее время ботнет активно заражает технику вредоносными программами на разных архитектурах Linux, включая варианты Mirai — легендарного кода, который превращает бытовые устройства в инструменты для массовых DDoS-атак и удалённого администрирования.
По данным специалистов Trend Micro Zero Day Initiative (ZDI), нынешняя кампания нацелена на широкий спектр инфраструктуры: маршрутизаторы Cisco, D-Link, Linksys, Netgear, веб-серверы Apache HTTP, IP-камеры Brickcom и CCTV-системы AVTECH. Некоторые из эксплуатируемых уязвимостей были впервые раскрыты на конкурсах Pwn2Own, где исследователи демонстрируют реальные цепочки взлома оборудования.
ZDI предупреждает, что подобные атаки представляют не только риск утечки данных, но и возможность длительного скрытого контроля над сетями компаний и организаций. Эксперты призывают сверить устройства с обновлённым перечнем пострадавших вендоров и конкретных CVE-идентификаторов, который включает десятки позиций. Среди наиболее опасных дыр фигурируют CVE-2024-3721 — критическая уязвимость в видеорегистраторах TBK DVR, позволяющая удалённое выполнение команд, и CVE-2024-12856 — аналогичная проблема в промышленных маршрутизаторах Four-Faith, также дающая злоумышленнику возможность выполнять произвольные команды.
Обе эти уязвимости ранее связывали с деятельностью RondoDox специалисты FortiGuard Labs. При этом точные масштабы заражения пока неизвестны: исследователи признают, что атаке могли подвергнуться любые устройства с доступом в интернет, особенно потребительские модели с минимальной защитой. Вредоносный загрузчик, связанный с этой кампанией, содержит многоархитектурные полезные нагрузки, рассчитанные на различные дистрибутивы Linux, включая маломощные IoT-платформы .
Атака началась 22 сентября, достигла пика на следующий день и прекратилась 24 сентября. По наблюдениям специалистов, всплеск активности имел характер «smash-and-grab» — быстрый захват максимального числа целей за короткое время. После этого активных следов кампании не фиксировалось, однако эксперты продолжают отслеживать инфраструктуру ботнета.
Пока что неизвестно, какая группировка стоит за RondoDox, и какие конкретные задачи выполняют заражённые устройства. Тем не менее исследователи отмечают, что ботнет стремительно эволюционирует: в последние недели он получил поддержку инфраструктуры loader-as-a-service — модели, при которой вредоносный загрузчик распространяется по подписке и автоматически устанавливает на устройство RondoDox вместе с вариантами Mirai и Morte.
Практически сразу после пика атак компания CloudSEK опубликовала собственное предупреждение. Аналитики зафиксировали «высокоорганизованную» операцию с использованием той же модели распределения и отметили рост активности на 230 % между июлем и августом. Под ударом оказались не только бытовые маршрутизаторы, но и корпоративные IoT-системы и серверные приложения, через которые вредоносная цепочка получает дальнейший доступ в сеть.
На данный момент специалисты ZDI продолжают мониторинг заражений и изучают связи RondoDox с другими ботнет-сетями . Одно ясно: даже кратковременная активность этой кампании показала, насколько уязвимы устройства, оставленные без обновлений и надёжной защиты.