RondoDoxはMirai型のボットネットで、174個の脆弱性をチェーンするとともに、侵害された住宅用IP基盤を大規模に利用する、高度に自動化された悪用エンジンへと急速に進化しました。
この爆発的な成長は世界的な攻撃面を拡大しており、特に多くのベンダーが脆弱なセキュリティ制御と不十分なパッチ実装を持つデバイスを出荷し続けているため、問題はより深刻です。
従来の調査では、ICS/OT機器、コンシューマーカメラ、IoTアプライアンスにおける体系的な弱点が既に指摘されており、RondoDoxはその同じ露出したエコシステムを規模を拡大して悪用しています。
同時に、インターネット全体のスキャンから、パブリックインターネットから直接到達可能な数億のサービスが明らかになっており、リモートで悪用可能なあらゆるバグがほぼ即座に武器化される可能性があることを意味します。
IoT Analyticsによると、2023年末時点で接続されたIoTデバイスは16.6億台でしたが、2030年までに400〜410億台を超えると予想されています。
このような状況において、任意のホストに対して1日100以上の悪用を撒き散らすことができるボットネットは、強力なサービス拒否および初期アクセスプラットフォームになります。
Miraiのクローンから174個の悪用まで
RondoDoxは2025年5月に最初に確認され、そのトラフィックがハニーポットログを支配し始めており、最初はもう1つのMirai派生物のように見えていました。
Miraiの構成要素を再利用していますが、マルウェアの主な目的はDoS攻撃を実行することであり、スキャンと悪用は感染したボットによって直接処理されるのではなく、専用インフラストラクチャに委ねられています。
この労働分担により、運用者は新しいバイナリを常に野生に出すことなく、迅速に悪用を反復することができます。
感染は、外部スキャナーがリモートコード実行の問題を持つインターネット露出デバイスを発見したとき、例えば特定のLinksysルーターの最近の非認証RCEなどから始まります。
悪用が成功すると、RondoDoxインフラストラクチャからシェルスクリプトをフェッチして実行し、基本的な検出を回避するためにメモリ内でのみ実行され、その後簡単なデフェンスを無効にし、競合するマルウェアを終了させ、書き込み可能なパスを特定し、最終的に被害者アーキテクチャに適切なボットバイナリをダウンロードします。
バイナリは「vuln.arch」のようなマーカー(例えば「linksys.mipsel」)で起動し、分析対策チェックを実行し、永続性を設定し、XMRigマイナーをデプロイし、その後ハードコードされたコマンドアンドコントロール(C2)サーバーへビーコンを送信してDoS命令を待ちます。
Bitsightのテレメトリは、RondoDoxの運用者が明確に悪用IPをホスティングおよびC2インフラストラクチャから分離していることを示しています。
悪用トラフィックはPfcloud UG、Secure Internet LLC、VPSVAULT、1337 Services GmbHなどの暗号フレンドリーなVPSプロバイダーから発生し、これらはすべて犯罪者によって使用される典型的な防弾型ホストです。
対照的に、ほとんどのホスティングIPは北米、ヨーロッパ、アジア、アフリカ、南米全域の住宅用またはコンシューマーISPにマップされており、侵害されたカスタマー機器がペイロード配信に転用されていることを強く示唆しています。
2025年10月以降のより詳細な監視により、これらの住宅用IPの多くがUniFi Protect、Control4パネル、TCL Android TVウェブサーバーなどのインターフェースを間欠的に露出させ、その後RondoDoxペイロード配信に戻すことが判明しました。
完全な侵害を決定的に証明することはできませんでしたが、パターンと露出したサービスから、エンドユーザーシステムがボットネットのスクリプトおよびバイナリをホストするために静かにハイジャックされている可能性が高いことが強く示唆されます。
運用者はブロックリストシステムも展開しており、IPがフラグされると、サーバーはマルウェアを配信しなくなり、背景ビデオとフェイク「ダウンロード」ボタン付きの欺瞞ウェブページを表示し、分析の試みをさらに挫折させます。
C2側では、OVH、YORKHOST、1337 Services GmbH、Serveroofferなどのプロバイダーによってホストされるわずか4つの安定したアドレスのみが観察され、IPはサンプル内で暗号化され、パブリックスキャニングプラットフォームでのアンチウイルス検出が低いことを示しています。
この小規模でよく隠されたC2フットプリントは、ノイズの多い悪用層と対照的で、運用者がコントロールトラフィックをレーダーの下に保つことにどれだけの努力を投じているかを強調しています。
進化する悪用戦略
2025年5月から2026年2月の間に、RondoDoxは174個の異なる脆弱性をサイクルしており、少なくとも148個のCVEとパブリック概念実証を持つが割り当てられた識別子のない悪用にマップされています。
初期の活動は「ショットガン」哲学に従っており、同じターゲットが短い間隔で多くの無関係の悪用を受け、単一の日に約49個の異なる脆弱性のピークと最大15,000個の悪用試行につながります。
ほぼすべての脆弱性の半分は1日だけ使用され、運用者が常に新しいバグをテストし、感染に変換されないものをすぐに破棄することを示唆しています。
2025年後半から、これは変わりました。2026年初頭に日々のアクティブな悪用の数は急激に低下し、運用者はCVE-2023-46604およびCVE-2025-55182(React2Shell)などの高価値脆弱性の小さなセットにほぼ即座に公開後にピボットしました。
CVE-2025-62593のような場合には、CVEレコードが公開される前でも悪用が始まり、RondoDoxが公式データベースを待つのではなく、研究ブログ、勧告、および概念実証コードを直接追跡していることを示しています。
皮肉なことに、この積極的な新しいバグの採用は不均一な悪用品質と組み合わされています。初期のペイロードは不正な形式でした(例えば、フォームエンコードデータの代わりにJSONを送信)、CVE-2025-47812やCVE-2025-62593などの脆弱性については、運用者は重要なステップを誤実装したように見え、自分たちの悪用をいくつかの条件下で無効にします。
全体的に、キャンペーンは動機付けられ、公開に対応した運用者を示していますが、広く、ノイズの多い悪用セットからより少数で、より標的化された兵器庫に移行する際に、まだ彼らの職人技を洗練させています。
翻訳元: https://gbhackers.com/rondodox-botnet-4/
