業界レポートによると、接続されたInternet of Things(IoT)デバイスの数は2023年に166億台に達し、2030年までに411億台に達すると予測されています。
この拡大は、9億以上の露出したインターネットサービスと相まって、巨大な攻撃面を作り出しています。
この脆弱なランドスケープの中で、RondoDoxボットネットとして知られる強力な脅威が出現し、膨大なエクスプロイト兵器庫と複雑なインフラストラクチャで注目を集めています。
2025年5月に初めて観測されたRondoDoxは、グローバルなハニーポット全体で大量のトラフィックを生成しました。マルウェアはMiraiボットネットとコード上の類似性を共有していますが、RondoDoxは異なります。
感染したホストから他のシステムを直接スキャンして悪用するMiraiとは異なり、RondoDoxの唯一の目的は分散型サービス拒否(DoS)攻撃を実行することです。
脅威行為者は攻撃的なアプローチを示しており、174種類の異なるエクスプロイトを使用し、1日に15,000件の悪用試行のピークに達しています。
感染プロセスは、RondoDoxインフラストラクチャがリモートコード実行(RCE)に脆弱なデバイスをインターネットでスキャンするときに始まります。
ターゲットを発見すると、攻撃者はシェルスクリプトをメモリ内で完全に取得して実行するペイロードをデプロイし、初期インプラントをディスクに書き込むことを避けます。
このスクリプトは競合するマルウェアを削除し、書き込み可能なディレクトリを探し、適切なバイナリをダウンロードします。現在、RondoDoxはARM、MIPS、x86バリアントを含む18のハードウェアアーキテクチャをサポートしています。
RondoDoxオペレーターは最初「ショットガンアプローチ」を採用し、複数のエクスプロイトを盲目的に単一のターゲットに向けていました。研究者は2025年5月から2026年2月の間に174の異なる脆弱性を利用するボットネットを観測しました。
ただし、これらのエクスプロイトのほぼ半分は1日の使用後に破棄されました。これは脅威行為者が先に進む前に攻撃の成功率を継続的にテストしていることを示しています。
2026年初頭までに、ボットネットの方法論が変わりました。数十の古い脆弱性に頼る代わりに、攻撃者はわずか2つの高度に効果的なエクスプロイトに焦点を当てるために業務を効率化しました。
1つはReact2Shell脆弱性(CVE-2025-55182)で、オペレーターは公開から3日後に追加しました。
他のケースでは、RondoDoxは正式なCVE番号がまだ公開される前に欠陥を悪用し、彼らが積極的にセキュリティ研究と概念実証リリースを監視していることを証明しています。
彼らのスピードにもかかわらず、脅威行為者は時々実装に苦労しました。
初期の攻撃は不正な形式のJSONペイロードを特徴とし、一部の最新のエクスプロイトはオペレーターがターゲット防御メカニズムをトリガーする不正なUser-Agent文字列をハードコーディングしたため失敗しました。
RondoDoxが「Loader-as-a-Service」バックエンドまたは分散型ピアツーピア(P2P)ネットワークを使用していることを示唆する最近の業界のうわさは公式に否定されています。
想定されるバックエンドパネルは単なるbitsightのオープンテキストファイルであり、基本的なPOSTリクエストをログしていただけで、疑わしいP2Pノードはマルウェアペイロードをホストしている侵害された住宅用IPでした。
RondoDoxが戦術を洗練させ、新しい脆弱性を急速に採用するにつれて、組織は壊滅的なボットネット感染を防ぐために、厳密なエクスポーザー管理とインターネットに面したシステムの迅速なパッチを優先する必要があります。
翻訳元: https://cyberpress.org/rondodox-abuses-residential-ips/