دنیای امنیت سایبری با تهدیدی نوظهور و بسیار مخرب روبرو شده است که به سرعت در حال بلعیدن زیرساختهای اینترنت اشیا و وبسرورها در سراسر جهان است. گزارشهای جدید پژوهشگران امنیتی نشان میدهد که باتنت RondoDox با سوءاستفاده از شکاف امنیتی React2Shell، موفق به آلودهسازی هزاران دستگاه شده است. این کارزار سایبری که از اوایل سال ۲۰۲۵ فعالیت خود را آغاز کرده، اکنون با بهرهگیری از نقصهای فنی اصلاحنشده، شبکهای عظیم از سیستمهای آلوده را برای مقاصد مخربی همچون استخراج ارز دیجیتال و حملات توزیعشده ایجاد کرده است.
کالبدشکافی آسیبپذیری React2Shell و نقش آن در گسترش باتنت RondoDox
هسته مرکزی این حملات بر پایه آسیبپذیری بسیار خطرناک React2Shell با شناسه CVE-2025-55182 استوار است. این نقص امنیتی که امتیاز کامل ۱۰ از ۱۰ را در شاخص شدت بحران دریافت کرده، در بخشهای حیاتی فریمورک Next.js و سرویسهای React وجود دارد. مهاجمان با بهرهبرداری از این روزنه، بدون نیاز به داشتن نام کاربری یا رمز عبور، قادرند کدهای مخرب خود را از راه دور بر روی سرورها اجرا کنند. بر اساس آمارهای منتشر شده، تا پایان دسامبر ۲۰۲۵، بیش از ۹۰ هزار سیستم در معرض این تهدید قرار داشتهاند که بخش عمدهای از آنها در ایالات متحده، آلمان و فرانسه میزبانی میشوند.
استراتژی چندمرحلهای مهاجمان برای تثبیت بدافزار و حذف رقبا
تحلیلهای فنی شرکت CloudSEK نشان میدهد که اپراتورهای باتنت RondoDox یک نقشه راه هوشمندانه را برای تسخیر سرورها دنبال کردهاند. این کارزار از مراحل شناسایی دستی شروع شده و در نهایت به حملات کاملاً خودکار در مقیاس وسیع تبدیل شده است. یکی از ویژگیهای منحصربهفرد این بدافزار، رفتار تهاجمی آن نسبت به دیگر گروههای هکری است. پس از نفوذ اولیه، ابزارهای کنترلی این باتنت اقدام به شناسایی و حذف ماینرها و بدافزارهای رقیب (مانند گونههای میرا) میکنند تا تمامی منابع سختافزاری سرور را به انحصار خود درآورند.
تکامل ابزارهای نفوذ و استفاده از نقصهای فنی قدیمی
اگرچه React2Shell سلاح اصلی این گروه است، اما باتنت RondoDox برای افزایش ضریب نفوذ خود، مجموعهای از آسیبپذیریهای قدیمیتر (N-day) را نیز به زرادخانه خود اضافه کرده است. این باتنت با اسکن مداوم اپلیکیشنهایی نظیر وردپرس و دروپال و همچنین روترهای ناامن اینترنت اشیا، تلاش میکند تا ماندگاری خود را در فضای وب تضمین کند. ابزارهای پایش سلامت این باتنت به صورت ساعتی پردازشهای سیستم را چک کرده و هر فعالیت غیرمجازی را متوقف میکنند تا از نفوذ مجدد سایر رقبا جلوگیری شود.
- استفاده از لایههای حفاظتی پیشرفته و دیوارههای آتش مخصوص وب (WAF) برای شناسایی الگوهای نفوذ React2Shell ضروری است.
- جداسازی دستگاههای اینترنت اشیا (IoT) از شبکه اصلی سازمان میتواند از گسترش عرضی آلودگی در صورت سقوط یک گره جلوگیری کند.
کارشناسان امنیتی تاکید دارند که تنها راه مقابله قطعی با باتنت RondoDox، بهروزرسانی فوری فریمورک Next.js به نسخههای اصلاحشده و مسدودسازی ارتباط با سرورهای فرماندهی و کنترل (C2) شناخته شده است. با توجه به سرعت بالای خودکارسازی این حملات، تاخیر در وصله کردن سرورها میتواند منجر به از دست رفتن کامل کنترل زیرساختهای حیاتی شود.
