Scopri anche

• Vulnerabilità CVE-2026-24061 in GNU InetUtils: bypass autenticazione root via Telnet
• ErrTraffic: Il servizio da $800 che automatizza gli attacchi ClickFix tramite falsi problemi del browser
• Cisco corregge vulnerabilità RCE zero-day nei prodotti Unified Communications
• Ni8mare: Vulnerabilità Critica CVE-2026-21858 Minaccia le Istanze n8n
• ZombieAgent: la vulnerabilità ChatGPT che trasforma l'AI in uno strumento di spionaggio

RondoDox Botnet Sfrutta la Vulnerabilità React2Shell per Colpire Server Next.js

RondoDox Botnet Sfrutta la Vulnerabilità React2Shell per Colpire Server Next.js

La Minaccia RondoDox e l'Exploit di React2Shell

⬆ Torna su Il botnet RondoDox è stato osservato mentre sfrutta la critica vulnerabilità React2Shell (CVE-2025-55182) per infettare server Next.js vulnerabili con malware e cryptominer. Secondo un nuovo rapporto della società di cybersecurity CloudSEK, RondoDox ha iniziato lo scanning dei server Next.js vulnerabili l'8 dicembre 2025, iniziando la distribuzione dei client botnet tre giorni dopo. React2Shell rappresenta una vulnerabilità di remote code execution non autenticata che può essere sfruttata tramite una singola richiesta HTTP. Questo flaw interessa tutti i framework che implementano il protocollo 'Flight' dei React Server Components (RSC), incluso Next.js. La vulnerabilità è stata valutata con un punteggio CVSS di 10.0, indicando il massimo livello di criticità.

Architettura Operativa del Botnet

⬆ Torna su RondoDox è un botnet su larga scala che prende di mira multiple vulnerabilità n-day in attacchi globali. Documentato per la prima volta da Fortinet nel luglio 2025, il botnet ha dimostrato la capacità di adattarsi rapidamente aggiungendo nuove vulnerabilità al suo arsenale, tra cui CVE-2023-1389 e CVE-2025-24893. Gli analisti di CloudSEK riferiscono che RondoDox ha attraversato tre distinte fasi operative durante l'anno. Nell'ultima fase osservata, il botnet ha concentrato le sue attività di exploitation sulla vulnerabilità React2Shell, lanciando oltre 40 tentativi di exploit nell'arco di sei giorni durante il mese di dicembre.

Payload e Meccanismi di Persistenza

⬆ Torna su Dopo aver individuato server potenzialmente vulnerabili, RondoDox distribuisce payload che includono un cryptominer (/nuts/poop), un loader botnet e health checker (/nuts/bolts), e una variante di Mirai (/nuts/x86). Il componente 'bolts' svolge funzioni critiche per il mantenimento del controllo sul sistema compromesso. Questo modulo rimuove il malware botnet concorrente dall'host, applica la persistenza tramite /etc/crontab e termina i processi non whitelisted ogni 45 secondi. Secondo i ricercatori, questa funzione impedisce efficacemente la reinfezione da parte di attori rivali, garantendo il controllo esclusivo del sistema.

Superficie d'Attacco e Diffusione Geografica

⬆ Torna su La superficie d'attacco risulta particolarmente ampia. La Shadowserver Foundation riporta il rilevamento di oltre 94.000 asset esposti a internet vulnerabili a React2Shell al 30 dicembre 2025. Dati aggiornati al 31 dicembre indicano circa 90.300 istanze ancora suscettibili alla vulnerabilità. Gli Stati Uniti rappresentano la nazione più colpita con 68.400 istanze vulnerabili, seguita da Germania (4.300), Francia (2.800) e India (1.500). Il targeting geografico appare globale, con attività segnalate in Cina e in organizzazioni di tutto il mondo con infrastrutture esposte.

Espansione verso i Dispositivi IoT

⬆ Torna su Durante la sua fase operativa corrente, RondoDox conduce onde di exploitation orarie targeting dispositivi IoT, prendendo di mira router consumer e enterprise come Linksys e Wavlink per arruolare nuovi bot. Questa espansione beyond i tradizionali server web include anche dispositivi come network-attached storage (NAS), telecamere IP e stampanti che eseguono componenti Next.js o React embedded. La campagna ha dimostrato un targeting ampio che include i settori tecnologico, dei servizi finanziari, sanitario, dell'istruzione e dei provider di servizi cloud. I meccanismi di propagazione hanno portato al compromesso collaterale di dispositivi consumer, particolarmente nelle regioni con alta adozione dei framework Next.js e React.

Raccomandazioni di Mitigazione

⬆ Torna su CloudSEK fornisce un set di raccomandazioni per proteggersi dall'attività di RondoDox. Le organizzazioni sono invitate ad aggiornare Next.js a una versione patchata il più presto possibile, auditare e applicare patch alle Server Actions, isolare i dispositivi IoT in VLAN dedicate e implementare Web Application Firewall (WAF). Il monitoraggio per l'esecuzione di processi sospetti e il blocco della known C2 infrastructure rappresentano misure aggiuntive critiche. La natura completamente automatizzata della catena di attacco richiede una risposta tempestiva e coordinata per prevenire compromissioni.

Implicazioni per la Sicurezza Nazionale e Corporate

⬆ Torna su La vulnerabilità React2Shell ha attirato l'attenzione di diversi attori threat, inclusi gruppi APT nordcoreani che hanno sfruttato la flaw per distribuire una nuova famiglia malware chiamata EtherRAT. Gruppi con nexus cinese hanno iniziato l'exploitation entro poche ore dalla disclosure pubblica, targeting sia entità del settore pubblico che privato. Il CISA Known Exploited Vulnerabilities (KEV) Catalog ha aggiunto CVE-2025-55182 pochi giorni dopo la disclosure, sottolineando l'urgenza della remediation. La disponibilità pubblica di proof-of-concept exploit code su GitHub e Openwall Security Mailing List ha accelerato il pace dello exploitation sia da parte di attori criminali che nation-state.

Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.

Fonti

⬆ Torna su

• https://www.bleepingcomputer.com/news/security/rondodox-botnet-exploits-react2shell-flaw-to-breach-nextjs-servers/
• https://thehackernews.com/2026/01/rondodox-botnet-exploits-critical.html
• https://www.rescana.com/post/rondodox-botnet-actively-exploits-react2shell-vulnerability-cve-2025-55182-in-next-js-and-react-se