RONDODOX: LA BOTNET QUE ESTÁ DEVORANDO EL IOT Y SERVIDORES NEXT.JS MEDIANTE REACT2SHELL
Fecha: 19 de marzo de 2026
Nivel de Impacto: Crítico
Una nueva amenaza de escala global ha puesto en jaque a la infraestructura de Internet de las Cosas (IoT) y aplicaciones web modernas. La botnet RondoDox ha intensificado sus operaciones mediante la explotación activa de React2Shell, una vulnerabilidad con la puntuación máxima de severidad (CVSS 10.0).
Lo que comenzó como una campaña de reconocimiento a principios de 2025, ha evolucionado hacia una maquinaria de guerra cibernética automatizada que ya cuenta con más de 90,000 instancias vulnerables en su radar.
El Vector de Ataque: CVE-2025-55182 (React2Shell)
El núcleo de esta campaña reside en el aprovechamiento de una falla crítica en los React Server Components (RSC) y el framework Next.js. Esta vulnerabilidad permite la Ejecución Remota de Código (RCE) sin necesidad de autenticación, otorgando a los atacantes el control total sobre el servidor objetivo.
Cronología de una Evolución Agresiva
Según reportes de CloudSEK, la operación de RondoDox se ha dividido en fases estratégicas que demuestran una sofisticación creciente:
- Reconocimiento (Marzo-Abril 2025): Escaneos manuales selectivos.
- Expansión (Abril-Junio 2025): Explotación masiva de plataformas como WordPress, Drupal y dispositivos de red (Wavlink).
- Automatización Total (Julio-Diciembre 2025): Implementación de scripts de ataque con frecuencia horaria.
- Fase Actual: Adopción de React2Shell para maximizar el reclutamiento de nodos.
Análisis del Payload: El módulo /nuts/bolts
Una vez que RondoDox logra el acceso inicial, despliega una serie de cargas maliciosas que incluyen mineros de criptomonedas y variantes de la conocida botnet Mirai. Sin embargo, el componente más letal es el script /nuts/bolts.
Este módulo actúa como un "limpiador" y "protector" del sistema infectado:
- Eliminación de Competencia: Identifica y mata procesos de otros malwares o mineros rivales.
- Persistencia Extrema: Se ancla en /etc/crontab para asegurar su ejecución.
- Vigilancia Activa: Escanea los procesos cada 45 segundos para eliminar cualquier actividad no autorizada por los operadores de RondoDox.
Distribución Geográfica de la Vulnerabilidad
A finales de 2025, la Shadowserver Foundation identificó los focos principales de exposición:
- Estados Unidos: 68,400 sistemas.
- Alemania: 4,300 sistemas.
- Francia: 2,800 sistemas.
- India: 1,500 sistemas.
Medidas de Mitigación Recomendadas
Para los administradores de sistemas y profesionales de seguridad, se recomienda actuar de inmediato:
- Actualización Crítica: Llevar Next.js a las últimas versiones parcheadas contra React2Shell.
- Segregación de Red: Aislar dispositivos IoT en VLANs dedicadas para evitar el movimiento lateral.
- Defensa Perimetral: Implementar y configurar reglas de WAF (Web Application Firewall) para bloquear intentos de explotación RCE.
- Monitoreo: Vigilar ejecuciones sospechosas en el sistema y bloquear IPs de comando y control (C2) conocidas.
Referencias:
CloudSEK: Análisis de la campaña RondoDox y fases de automatización.
