تمت ملاحظة أن شبكة الروبوتات RondoDox تستغل ثغرة React2Shell الخطيرة (CVE-2025-55182) لإصابة خوادم Next.js الضعيفة بالبرامج الضارة وبرامج التعدين.
تم توثيق RondoDox لأول مرة بواسطة Fortinet في يوليو 2025، وهو عبارة عن شبكة روبوتات واسعة النطاق تعمل على”https://www.bleepingcomputer.com/news/security/rondodox-botnet-targets-56-n-day-flaws-in-worldwide-attacks/” الهدف=”_blank” rel=”nofollow noopener”> يستهدف عيوبًا متعددة في اليوم في الهجمات العالمية. وفي نوفمبر، رصدت VulnCheck”https://www.bleepingcomputer.com/news/security/rondodox-botnet-malware-now-hacks-servers-using-xwiki-flaw/” الهدف=”_blank” rel=”nofollow noopener”> متغيرات RondoDox الجديدة والتي تضمنت عمليات استغلال لـ CVE-2025-24893، وهي ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بعد (RCE) في منصة XWiki.
يشير تقرير جديد صادر عن شركة الأمن السيبراني CloudSEK إلى أن RondoDox بدأ البحث عن خوادم Next.js الضعيفة في 8 ديسمبر وبدأ في نشر عملاء الروبوتات بعد ثلاثة أيام.
“https://www.bleepstatic.com/c/a/as-Free-Phishing-970×250.jpg” البديل=”Wiz”>
React2Shell هو”https://www.bleepingcomputer.com/news/security/critical-react2shell-flaw-in-react-nextjs-lets-hackers-run-javascript-code/” الهدف=”_blank” rel=”nofollow noopener”> تنفيذ تعليمات برمجية عن بعد غير مصادق عليها الثغرة الأمنية التي يمكن استغلالها عبر طلب HTTP واحد وتؤثر على جميع أطر العمل التي تنفذ بروتوكول “Flight” الخاص بمكونات خادم React Server (RSC)، بما في ذلك Next.js.
وقد تم استغلال هذا الخلل من قبل العديد من الجهات الفاعلة في مجال التهديد”https://www.bleepingcomputer.com/news/security/react2shell-flaw-exploited-to-breach-30-orgs-77k-ip-addresses-vulnerable/” الهدف=”_blank” rel=”nofollow noopener”> اختراق منظمات متعددة. استغل قراصنة كوريا الشمالية React2Shell لنشر عائلة جديدة من البرامج الضارة تسمى”https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-react2shell-flaw-in-etherrat-malware-attacks/” الهدف=”_blank” rel=”nofollow noopener”> إيثررات.
اعتبارًا من 30 ديسمبر، أفادت مؤسسة Shadowserver باكتشاف أكثر من”https://dashboard.shadowserver.org/statistics/combined/time-series/?date_range=7&source=http_vulnerable&source=http_vulnerable6&tag=cve-2025-55182%2B&dataset=unique_ips&limit=100&group_by=tag&stacking=stacked&auto_update=on” الهدف=”_blank” rel=”nofollow noopener”> 94000 من الأصول المعرضة للإنترنت عرضة لـ React2Shell.
CloudSEK”https://www.cloudsek.com/blog/rondodox-botnet-weaponizes-react2shell” الهدف=”_blank” rel=”nofollow noopener”> يقولأن RondoDox قد مرت بثلاث مراحل تشغيلية متميزة هذا العام:
- اختبار الاستطلاع والضعف من مارس إلى أبريل 2025
- الاستغلال الآلي لتطبيقات الويب من أبريل إلى يونيو 2025
- نشر الروبوتات لإنترنت الأشياء على نطاق واسع من يوليو إلى اليوم
وفيما يتعلق بـ React2Shell، أفاد الباحثون أن RondoDox ركزت استغلالها حول الثغرة بشكل كبير مؤخرًا، حيث أطلقت أكثر من 40 محاولة استغلال في غضون ستة أيام في ديسمبر.
خلال هذه المرحلة التشغيلية، تقوم شبكة الروبوتات بإجراء موجات استغلال لإنترنت الأشياء كل ساعة تستهدف Linksys وWavlink وأجهزة توجيه أخرى للمستهلكين والمؤسسات لتسجيل روبوتات جديدة.
بعد فحص الخوادم التي يحتمل أن تكون عرضة للخطر، تقول CloudSEK إن RoundDox بدأت في نشر حمولات تتضمن عامل تعدين العملات (/nuts/poop)، ومحمل الروبوتات ومدقق الصحة (/nuts/bolts)، ومتغير من Mirai (/nuts/x86).
يقول الباحثون إن مكون “bolts” يزيل البرامج الضارة المنافسة لشبكة الروبوتات من المضيف، ويفرض الاستمرارية عبر /etc/crontab، ويقتل العمليات غير المدرجة في القائمة البيضاء كل 45 ثانية.
توفر CloudSEK مجموعة من التوصيات للشركات للحماية من نشاط RondoDox، من بينها تدقيق إجراءات خادم Next.js وتصحيحها، وعزل أجهزة إنترنت الأشياء في شبكات LAN افتراضية مخصصة، ومراقبة العمليات المشبوهة التي يتم تنفيذها.
“https://www.bleepstatic.com/c/t/tines/tines-keyhole.jpg” البديل=”tines”>
قم بتفكيك صوامع IAM مثل Bitpanda وKnowBe4 وPathAI
إن تعطل IAM لا يمثل مجرد مشكلة تتعلق بتكنولوجيا المعلومات – بل يمتد التأثير عبر عملك بالكامل.
يغطي هذا الدليل العملي سبب فشل ممارسات IAM التقليدية في مواكبة المتطلبات الحديثة، وأمثلة على ذلك “good” تبدو IAM وكأنها قائمة مرجعية بسيطة لبناء استراتيجية قابلة للتطوير.