概要:RondoDoXボットネットとReact2Shellの悪用
セキュリティ企業CloudSEKは、RondoDoXボットネットによる9ヶ月間にわたる継続的なキャンペーンを明らかにしました。このキャンペーンでは、React2Shellの脆弱性を含む新たな脆弱性が迅速に悪用され、マルウェアが展開されています。特に、公開された脆弱性情報に即座に対応し、攻撃インフラを適応させる脅威アクターの俊敏性が浮き彫りになりました。
2025年3月から12月にかけてのコマンド&コントロール(C2)ログの分析により、脅威アクターは従来のIoTターゲットから、Next.jsアプリケーションを標的とする攻撃へと素早く移行していたことが判明しました。Darktraceが2025年12月10日にReact2Shellの悪用パターンを報告した後も、RondoDoXの運用者は検出を回避するため、わずか3日後には新たなC2サーバーを立ち上げて活動を継続していました。
攻撃の進化:3つのフェーズ
このキャンペーンは、3つの明確な運用フェーズを経て進化しました。
- フェーズ1(2025年3月~4月中旬): 手動による偵察から始まり、自動化された日次攻撃へと移行しました。当初は、SQLインジェクション、Javaデシリアライゼーションの脆弱性、WebLogicの脆弱性に焦点を当て、インターネットに公開されたインフラの弱点を体系的に調査しました。
- フェーズ2(2025年4月~6月): Drupal OGNLインジェクション、Struts2フレームワークの脆弱性、WordPressプラグインの脆弱性を含むCMSプラットフォームを標的とした大規模な脆弱性スキャンが強化されました。同時に、WavlinkルーターなどのIoTデバイスに対するコマンドインジェクション攻撃も拡大しました。
- フェーズ3(2025年7月~12月): Rondoボットネットインフラが展開され、1時間ごとの悪用試行で自動化がピークに達しました。CloudSEKは、重複する期間に稼働している6つのC2サーバーを特定し、特定のデバイスアーキテクチャに合わせた10種類以上のRondoマルウェア亜種が配信されました。2025年12月は、Next.js RCEの悪用と一致し、最も高い活動期間となりました。
React2Shell悪用の詳細
React2Shellの公開後、RondoDoXの運用者はCVE-2025-55182を迅速に武器化し、2つの異なる攻撃ウェーブを展開しました。
- 最初のスキャン(12月8日~16日): 脆弱なNext.jsサーバーを特定するため、
whoamiや算術検証テストを含むコマンドを実行し、HTTPリダイレクトを介した出力流出を伴うブラインドRCEテストが実施されました。 - 2つ目のウェーブ(12月13日以降): Node.jsプロセス実行機能を活用した活発なIoTボットネットの展開が開始されました。攻撃者は、5.255.121.141および51.81.104.115に新たなC2インフラを確立し、
/nuts/poop(仮想通貨マイナー)、/nuts/bolts(永続性フレームワーク)、/nuts/x86(Mirai亜種)のエンドポイントを通じてELFバイナリを配布しました。
「bolts」ペイロードは、競合するマルウェアを終了させ、crontabの変更を通じて永続性を確立し、45秒ごとに/procを継続的にスキャンして競合ボットネットプロセスを排除するLinuxドミナンスフレームワークとして機能します。CloudSEKは、わずか6日間で同一の脆弱性に対する40回以上の繰り返し攻撃を記録しており、未パッチのインフラに対する執拗な標的化を示しています。
組織への推奨事項
Next.js Server Actionsを実行している組織は、深刻なRCE露出に直面しており、デシリアライゼーションプロセスにおけるプロトタイプ汚染攻撃を通じて、サーバーが完全に侵害される可能性があります。セキュリティチームは以下の対応を緊急に実施する必要があります。
- Server Actionsを使用するNext.jsアプリケーションの緊急監査を実施し、シリアライズされたデータに対する厳格な入力検証を実装する。
- 直ちにパッチが適用されたバージョンにアップグレードする。
- IoTデバイスは、専用のVLANにネットワークをセグメント化し、出力フィルタリングを適用する。
- 特定されたC2インフラは、境界ファイアウォールでブロックする。
- 疑わしい
/tmpディレクトリでの実行やchmod操作に対するふるまい監視を展開し、完全な侵害の前に永続化メカニズムを検出する。
IoC(Indicators of Compromise)
| IPアドレス | 初回確認 | 最終確認 | 証拠数 |
|---|---|---|---|
| 74.194.191.52 | 2025-08-08 | 2025-08-24 | 30+ |
| 70.184.13.47 | 2025-12-01 | 2025-12-06 | 15+ |
| 41.231.37.153 | 2025-11-23 | 2025-12-18 | 25+ |
| 5.255.121.141 | 2025-12-13 | 2025-12-19 | 40+ |
| 89.144.31.18 | 2025-12-07 | 2025-12-07 | 1 |
| 51.81.104.115 | 2025-12-13 | 2025-12-15 | 8+ |