Gần đây, một RondoDox botnet mới nổi đã tự định hình trở thành một trong những mối đe dọa đáng lo ngại nhất được quan sát trong những tháng gần đây. Botnet này kết hợp một bộ sưu tập khai thác lớn bất thường với việc sử dụng có tính toán cơ sở hạ tầng internet dân cư.
Được phát hiện lần đầu vào tháng 5 năm 2025, botnet này bắt đầu tạo ra lượng lớn lưu lượng truy cập trong các honeypot bảo mật và sau đó đã phát triển thành một hoạt động quy mô lớn, có khả năng thực hiện tới 15.000 nỗ lực khai thác trong một ngày.
Phân tích RondoDox Botnet và Nguồn Gốc
Các nhà điều hành của RondoDox đã thể hiện cả tham vọng kỹ thuật và sự kiên nhẫn trong hoạt động, quản lý cẩn thận cơ sở hạ tầng hỗ trợ các cuộc tấn công của họ.
RondoDox botnet được xây dựng dựa trên nền tảng của Mirai, một botnet mã nguồn mở nổi tiếng mà mã nguồn của nó đã được nhiều đối tượng đe dọa tái sử dụng trong nhiều năm. Điểm khác biệt chính là Mirai được thiết kế để vừa quét mục tiêu mới vừa thực hiện các cuộc tấn công từ chối dịch vụ (DoS), trong khi RondoDox tập trung hoàn toàn vào các tấn công DoS.
Các nhà điều hành đã mở rộng đáng kể nền tảng này, xây dựng một bộ công cụ hiện bao gồm 174 lỗ hổng khác nhau. Con số này là không phổ biến đối với các mối đe dọa cùng loại.
Khả năng Khai thác và Hỗ trợ Kiến trúc Hệ thống
RondoDox hỗ trợ 18 kiến trúc hệ thống khác nhau, bao gồm x86_64, các biến thể ARM, MIPS, PowerPC và các kiến trúc khác. Điều này cho phép nó nhắm mục tiêu vào một loạt rộng các thiết bị phần cứng kết nối internet.
Các nhà phân tích của Bitsight đã xác định botnet này sau khi nhận thấy lượng lưu lượng truy cập lớn mà nó tạo ra trong hệ thống honeypot của họ. Nghiên cứu của họ cho thấy trong số 174 khai thác được ghi nhận, 148 liên quan đến các lỗ hổng CVE đã biết, 15 có mã proof-of-concept (PoC) công khai nhưng không có CVE chính thức, và 11 không có PoC nào được công khai.
Nguồn nghiên cứu chi tiết: Bitsight Blog: RondoDox Botnet Infrastructure Analysis
Chiến lược Khai thác và Theo dõi Lỗ hổng
Các nhà nghiên cứu cũng quan sát thấy các nhà điều hành tích cực theo dõi các tiết lộ về lỗ hổng. Một số khai thác đã được triển khai chỉ trong vài ngày sau khi thông tin trở thành công khai.
Trong một trường hợp, CVE-2025-62593 đã bị khai thác trước khi CVE này được công bố chính thức. Đây là một dấu hiệu của khả năng phản ứng nhanh chóng và theo dõi sát sao các lỗ hổng zero-day hoặc newly disclosed flaws.
Thời gian đầu hoạt động, các nhà điều hành botnet đã áp dụng phương pháp “shotgun”, gửi nhiều khai thác cùng lúc tới cùng một mục tiêu với hy vọng rằng một trong số đó sẽ hoạt động.
Số lượng lỗ hổng khác nhau được sử dụng trong một ngày đạt đỉnh điểm là 49 vào ngày 19 tháng 10 năm 2025.
Đến tháng 1 năm 2026, con số đó giảm xuống chỉ còn hai lỗ hổng đang hoạt động. Điều này cho thấy các nhà điều hành đã chuyển hướng tập trung vào các mục tiêu có giá trị cao thay vì dàn trải.
Chẳng hạn, CVE-2025-55182, được biết đến với tên gọi React2Shell và được tiết lộ vào ngày 3 tháng 12 năm 2025, đã được thêm vào danh sách khai thác của botnet chỉ ba ngày sau đó, vào ngày 6 tháng 12.
Sự tiếp nhận nhanh chóng các lỗ hổng mới được tiết lộ, kết hợp với quy mô và sự kiên trì của hoạt động, báo hiệu một mối đe dọa được đầu tư tốt và có động lực cao mà các đội ngũ bảo mật cần phải nghiêm túc xem xét.
Cơ sở hạ tầng Độc đáo: Sử dụng IP Dân cư Bị Chiếm Đoạt
Một trong những chi tiết nổi bật nhất được phát hiện trong nghiên cứu là cách RondoDox botnet sử dụng các địa chỉ IP dân cư bị xâm nhập để lưu trữ các payload mã độc của nó.
Bitsight đã theo dõi 32 địa chỉ IP trong suốt thời gian quan sát. Trong đó, 16 IP được dành cho việc khai thác và 16 IP được dùng để lưu trữ.
Trong khi các IP khai thác được truy vết về các nhà cung cấp dịch vụ lưu trữ chấp nhận thanh toán bằng tiền điện tử, thì các IP lưu trữ phần lớn chỉ về các nhà cung cấp dịch vụ internet thông thường.
Các nhà nghiên cứu đã sử dụng bộ dữ liệu Groma và phát hiện rằng 4 trong số 11 IP lưu trữ dân cư được xác định đã để lộ các dịch vụ có khả năng dễ bị tấn công. Bao gồm giao diện UniFi Protect, hai hệ thống nhà thông minh Control4 và một máy chủ web TCL Android TV.
Bằng chứng mạnh mẽ cho thấy đây là các thiết bị gia đình bị xâm nhập, vô tình đóng vai trò là cơ sở hạ tầng của botnet.
Các máy chủ lưu trữ cũng áp dụng một cơ chế danh sách đen, trả về một trang đánh lừa với video nền và một nút không chức năng để chặn các nhà phân tích.
Biện pháp Phòng ngừa và Giảm thiểu Rủi ro
Để giảm thiểu rủi ro từ các tấn công mạng của RondoDox botnet, các tổ chức cần thực hiện các biện pháp phòng ngừa sau:
- Thường xuyên cập nhật bản vá bảo mật cho các thiết bị kết nối internet.
- Vô hiệu hóa các dịch vụ truy cập từ xa không sử dụng.
- Giám sát lưu lượng mạng để phát hiện các kết nối đáng ngờ.
Các chỉ số thỏa hiệp (IOC) được Bitsight công bố trên kho lưu trữ GitHub của họ có thể được sử dụng để hỗ trợ giám sát và phát hiện xâm nhập.
Tham khảo IOCs từ Bitsight GitHub.
