Investigadores de ciberseguridad han revelado detalles de una campaña persistente de nueve meses de duración que se ha dirigido a dispositivos y aplicaciones web de Internet de las cosas (IoT) para inscribirlos en una botnet conocida como RondoDox.
A diciembre de 2025, se ha observado que la actividad aprovecha la falla recientemente revelada de React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) como vector de acceso inicial, dijo CloudSEK en un análisis.
React2Shell es el nombre asignado a una vulnerabilidad de seguridad crítica en React Server Components (RSC) y Next.js que podría permitir a atacantes no autenticados lograr la ejecución remota de código en dispositivos susceptibles.
Según las estadísticas de la Fundación Shadowserver, hay alrededor de 90.300 instancias que siguen siendo susceptibles a la vulnerabilidad al 31 de diciembre de 2025, de las cuales 68.400 instancias están ubicadas en los EE. UU., seguidas por Alemania (4.300), Francia (2.800) e India (1.500).
RondoDox, que surgió a principios de 2025, amplió su escala al agregar nuevas vulnerabilidades de seguridad de día N a su arsenal, incluidas CVE-2023-1389 y CVE-2025-24893. Vale la pena señalar que Darktrace, Kaspersky y VulnCheck destacaron anteriormente el abuso de React2Shell para difundir la botnet.
Se considera que la campaña de la botnet RondoDox pasó por tres fases distintas antes de la explotación de CVE-2025-55182:
- Marzo – abril de 2025: reconocimiento inicial y escaneo manual de vulnerabilidades
- Abril – junio de 2025: sondeo diario masivo de vulnerabilidades de aplicaciones web como WordPress, Drupal y Struts2, y dispositivos IoT como enrutadores Wavlink
- Julio – principios de diciembre de 2025: implementación automatizada por horas a gran escala
En los ataques detectados en diciembre de 2025, se dice que los actores de amenazas iniciaron escaneos para identificar servidores Next.js vulnerables, seguidos de intentos de colocar mineros de criptomonedas («/nuts/poop»), un cargador de botnet y un verificador de estado («/nuts/bolts»), y una variante de botnet Mirai («/nuts/x86») en dispositivos infectados.
«/nuts/bolts» está diseñado para acabar con el malware y los mineros de monedas de la competencia antes de descargar el binario del bot principal desde su servidor de comando y control (C2). Se ha descubierto que una variante de la herramienta elimina botnets conocidas, cargas útiles basadas en Docker, artefactos que quedaron de campañas anteriores y trabajos cron asociados, al mismo tiempo que configura la persistencia usando «/etc/crontab».
«Escanea continuamente /proc para enumerar los ejecutables en ejecución y finaliza los procesos no incluidos en la lista blanca cada ~45 segundos, previniendo efectivamente la reinfección por parte de actores rivales», dijo CloudSEK.
Para mitigar el riesgo que representa esta amenaza, se recomienda a las organizaciones actualizar Next.js a una versión parcheada lo antes posible, segmentar todos los dispositivos IoT en VLAN dedicadas, implementar firewalls de aplicaciones web (WAF), monitorear la ejecución de procesos sospechosos y bloquear la infraestructura C2 conocida.