Ваш роутер ему больше не интересен. RondoDox пришёл за вашим сервером

К концу 2025 года операторы вредоносных кампаний всё чаще делают ставку не на одну уязвимость, а на целый конвейер, который умеет быстро подстраиваться под любую цель. В свежем техническом разборе специалисты Logpoint описали, как Linux-ботнет RondoDox эволюционировал из массового заражения IoT в более гибкую схему доставки нагрузок и начал активнее «прощупывать» корпоративные сервисы.

Семейство RondoDox впервые зафиксировали в FortiGuard Labs в сентябре 2024 года, а в течение 2025 года оно получило более подробное описание. На раннем этапе кампания в основном искала устройства с открытым доступом в интернете, включая DVR и роутеры, чтобы пополнять DDoS-сеть. Теперь поведение всё больше напоминает эксплуатационный и доставочный «пайплайн» — быстрый взлом, оперативное определение характеристик узла и установка того компонента, который лучше подходит под задачу операторов.

По данным CloudSEK, активность развивалась фазами: разведка и тестирование сменялись автоматизированной эксплуатацией, затем шли крупные волны «набора» IoT-устройств. Trend Micro и подразделение ZDI отмечали «шотган»-подход, когда злоумышленники перебирают десятки известных уязвимостей сразу, а не строят распространение вокруг одной. В более поздних материалах о RondoDox v2 упоминается ещё больший набор доставляемых эксплойтов, которые запускаются сериями, чтобы повысить шанс успешного проникновения.

К концу 2025 года кампания стала быстрее подхватывать новые проблемы в серверных продуктах. В ноябре активность связывали с эксплуатацией RCE в XWiki, а в декабре — с использованием React2Shell против серверов на Next.js. Авторы отчёта подчёркивают, что ключевой риск здесь не в одной конкретной уязвимости, а в задержках с установкой обновлений и в том, что сервисы остаются доступными из интернета, пока операторы перебирают варианты входа.

Отдельное внимание уделено инфраструктуре, которая делает схему устойчивой к блокировкам и изъятиям. Описана распределённая схема, где есть транзитный слой и несколько «полос» хостинга для сканирования, размещения промежуточного контента и раздачи нагрузок. Среди замеченных автономных систем упоминаются Sovy Cloud Services, Cheapy-Host, Nybula, EKABI, Zhongguancun, а также провайдеры в Бразилии и на Сейшелах. При этом подчёркивается, что сам по себе ASN не доказывает связь с RondoDox и скорее отражает использование арендуемых площадок, которые можно быстро менять.

В цепочке заражения важную роль играет лёгкий shell-загрузчик. Он подготавливает среду, определяет архитектуру CPU и скачивает подходящую ELF-сборку, а также может удалять конкурирующие вредоносные процессы, закрепляться и «прочищать» систему, снижая заметность следов. Основная нагрузка, судя по статическому анализу, устроена модульно и получает задания от управляющего сервера, что позволяет операторам переключать сценарии — от узла ботнета до прокси, майнера или промежуточной точки для дальнейших атак.