自宅にスマートカメラがある、あるいはビジネス用に小さなウェブサイトを運営している場合、気づかないうちにハッカーに加担してしまっているかもしれません。サイバー犯罪者がRondoDoxボットネットを使って、日常的に使われるデバイス数千台に侵入しているためです。彼らはボットネット、つまり遠隔から制御できる乗っ取られたコンピュータの巨大な軍隊を構築しています。
CloudSEKの報告によると、これらの攻撃者は現在、React2Shell(CVE-2025-55182)と呼ばれる重大な欠陥を悪用しています。この欠陥は、ウェブサイト構築に広く使われる人気ツールNext.jsに存在します。パスワードなしでコンピュータやサーバーを乗っ取れるため、非常に危険です。
計算された3段階の乗っ取り
このセキュリティ欠陥が2025年12月に発見されるとすぐに、RondoDoxグループは被害者探しを開始しました。Shadowserver Foundationのデータによれば、年末までに90,300以上のシステムが無防備な状態で放置されていました。最もリスクの高いデバイスが多いのは米国(68,000超)ですが、ドイツ、フランス、インドでも数千台が脆弱なままです。
さらに調査を進めると、ハッカーは一夜にして活動を始めたわけではなく、3段階の計画で規模を拡大していたことが判明しました。2025年初頭には、データベースをだますためのSQLインジェクションのような基本的なウェブサイトの弱点をテストしていました。夏までには、WordPressやDrupalといった人気プラットフォームの大規模スキャンを開始し、家庭用のWavlinkルーターも標的にしました。年末には攻撃が完全に自動化されました。
研究者はブログ投稿で、6つのコントロールセンターが10種類の異なるウイルス亜種を配布し、高性能なクラウドサーバーから基本的な家庭用機器まで、ほぼあらゆる種類のマシンアーキテクチャを攻撃していると指摘しています。
誰がリスクにさらされているのか?
RondoDoxはほぼあらゆるデバイスに感染し得ます。最も一般的な標的は次のとおりです:
- ウェブサイト:Next.jsまたはWordPressで構築されたあらゆるサイト。
- 家庭用ルーター:D-Link、Netgear、TP-Linkなどのブランド。
- スマート機器:IPカメラや、Wi-Fiに接続されたその他のガジェット。
ハッカーのツールキット
侵入に成功すると、ハッカーは奇妙な名前の隠しプログラムをインストールします。「/nuts/poop」を使ってデバイスの処理能力を奪い、デジタル通貨のマイニングを行い、さらに悪名高いMiraiマルウェアの亜種である「/nuts/x86」を使ってボットネットの拡散を助けます。
おそらく最も攻撃的なツールは「/nuts/bolts」です。この「ヘルスチェッカー」は45秒ごとにデバイスをスキャンし、競合する他のウイルスをすべて排除します。さらに、古いデジタル痕跡まで消去し、RondoDoxがあなたのデバイスの唯一の支配者となるようにします。
安全を保つ最善の方法は、技術を常に最新の状態に保つことです。ウェブサイトを運営している場合は、Next.js向けの最新のセキュリティ修正を直ちに適用してください。家庭では、スマートカメラのようなガジェットを別のWi-Fiネットワークに接続するのが賢明です。そうすれば、ハッカーがカメラに侵入しても、個人のスマホやコンピュータに到達できません。また、ルーターの設定を確認し、新しいソフトウェア更新があれば直ちにインストールしてください。
翻訳元: https://hackread.com/rondodox-botnet-react2shell-hijack-unpatched-devices/
