La botnet RondoDox ha escalado su agresividad mediante la explotación masiva de la vulnerabilidad CVE-2025-55182 (React2Shell), una falla de ejecución remota de código (RCE) sin autenticación que afecta a Next.js y React Server Components. Con más de 90,000 sistemas expuestos globalmente —principalmente en EE. UU.—, la campaña ha evolucionado desde el reconocimiento manual hasta una automatización total que despliega mineros de criptomonedas y variantes de Mirai. El ataque destaca por su módulo /nuts/bolts, un componente de persistencia que elimina malware competidor y protege el sistema infectado cada 45 segundos, lo que obliga a los administradores a priorizar la REACT2SHELL actualización inmediata de sus frameworks web y la segmentación estricta de sus dispositivos IoT.