RondoDox Botnet explota falla crítica React2Shell para secuestrar dispositivos IoT y servidores web

Investigadores de ciberseguridad revelaron una campaña persistente de al menos nueve meses atribuida a la RondoDox Botnet, que actualmente explota la vulnerabilidad crítica React2Shell (CVE-2025-55182, CVSS 10.0) para comprometer servidores web, aplicaciones expuestas y dispositivos IoT a escala global.

La falla, localizada en React Server Components, permite ejecución remota de código (RCE) sin autenticación mediante una sola solicitud HTTP. A finales de diciembre de 2025 se identificaron más de 90,000 sistemas vulnerables, lo que posiciona a este vector como uno de los más severos del año para entornos web modernos y edge computing.

Evolución técnica de la botnet

RondoDox se mantiene activa desde principios de 2025 y ha mostrado una evolución operativa por fases, pasando de ataques oportunistas a un modelo industrializado de explotación y persistencia. En diciembre, el grupo inició escaneos masivos contra servidores Next.js a partir del 8 de diciembre, integrando React2Shell como nuevo vector primario.

Entre los payloads desplegados se identificaron:

• Mineros de criptomonedas (/nuts/poop).

• Loaders de botnet (/nuts/bolts).

• Variantes de Mirai orientadas a arquitecturas x86 (/nuts/x86).

Estos componentes permiten a la botnet monetizar recursos comprometidos, ampliar su red y mantener control remoto continuo.

Fases de la campaña

La actividad observada se divide en tres etapas claras:

• Marzo – abril de 2025: reconocimiento manual y escaneo de vulnerabilidades.

• Abril – junio de 2025: explotación diaria de aplicaciones web y dispositivos IoT, incluyendo CMS populares.

• Julio – diciembre de 2025: despliegue horario a gran escala, con eliminación de malware competidor y persistencia mediante crontab.

El módulo /nuts/bolts destaca por su comportamiento defensivo: escanea procesos cada 45 segundos, elimina binarios no autorizados y bloquea intentos de reinfección por botnets rivales, mientras mantiene comunicación constante con servidores C2 para recibir comandos.

Impacto geográfico y riesgo operativo

El análisis de telemetría muestra que Estados Unidos concentra el mayor número de instancias vulnerables, con aproximadamente 68,400 sistemas expuestos, seguido por Alemania y Francia. La combinación de RCE sin autenticación, alta exposición en internet y automatización convierte a React2Shell en un vector crítico para infraestructura web e IoT empresarial.

Recomendaciones de mitigación

Especialistas recomiendan acciones inmediatas para reducir el riesgo:

• Aplicar parches de seguridad de forma urgente en entornos afectados.

• Aislar dispositivos IoT en VLANs dedicadas sin acceso directo a internet.

• Implementar WAF con reglas específicas para RCE y abuso de componentes server-side.

• Monitorear procesos y tareas programadas en busca de binarios desconocidos o persistencia vía cron.

El caso RondoDox refuerza la necesidad de capacidades de detección proactiva en SOC, apoyadas en IA, para identificar explotación de zero-day y n-day en entornos distribuidos y de borde antes de que escalen a compromisos masivos.