Il botnet RondoDox sta sfruttando la vulnerabilità critica React2Shell (CVE-2025-55182) per infettare server Next.js vulnerabili con malware e miner di criptovalute. Questo botnet è stato documentato per la prima volta da Fortinet nel luglio 2025 e rappresenta una minaccia significativa per la sicurezza informatica.
Il funzionamento di RondoDox
RondoDox è un botnet di larga scala che sfrutta diverse vulnerabilità n-day in attacchi globali. A novembre, VulnCheck ha rilevato nuove varianti di RondoDox che sfruttavano la vulnerabilità CVE-2025-24893, una vulnerabilità di esecuzione di codice remoto (RCE) critica nella piattaforma XWiki. Recentemente, RondoDox ha iniziato a scansionare server Next.js vulnerabili l’8 dicembre e ha iniziato a distribuire client botnet tre giorni dopo.
La vulnerabilità React2Shell
React2Shell è una vulnerabilità di esecuzione di codice remoto non autenticata che può essere sfruttata tramite una singola richiesta HTTP e colpisce tutti i framework che implementano il protocollo ‘Flight’ dei componenti server React (RSC), compreso Next.js. Questa vulnerabilità è stata sfruttata da diversi attori minacciosi per violare molte organizzazioni. Gli hacker nordcoreani hanno sfruttato React2Shell per distribuire una nuova famiglia di malware chiamata EtherRAT.
Conseguenze e raccomandazioni
Al 30 dicembre, la Shadowserver Foundation ha rilevato oltre 94.000 asset esposti su internet vulnerabili a React2Shell. CloudSEK consiglia alle aziende di proteggersi contro questa attività di RondoDox eseguendo audit e patching delle azioni del server Next.js, isolando i dispositivi IoT in reti virtuali LAN dedicate e monitorando i processi sospetti in esecuzione. Inoltre, è fondamentale adottare misure di sicurezza robuste per prevenire la propagazione di malware e cryptominer.
