RondoDoxボットネットの脅威が進化
2025年10月30日、サイバーセキュリティの脅威ランドスケープに劇的な変化が訪れました。セキュリティ研究者がハニーポットインフラを監視する中で、RondoDoxボットネットの大幅に進化した亜種を検出したのです。この更新されたマルウェアは、現在75種類の異なるエクスプロイトベクトルを備えており、その脅威は主にIoTを標的とするボットネットから、住宅用ルーターからミッションクリティカルなビジネスインフラまで、あらゆるものを標的とする多面的な企業脅威へと変貌を遂げました。
この発見は、ニュージーランドのIPアドレス124.198.131.83から発信された自動化されたエクスプロイト試行を通じて明らかになりました。攻撃パターンは、運用上の精度で配信される前例のないコマンドインジェクションペイロードの武器庫を示していました。RondoDox v2と特定されたこの新バージョンは、2024年9月にFortiGuard Labsによって文書化されたオリジナル版からの大幅なエスカレーションを意味します。すべてのエクスプロイト試行は、被害者を侵害されたコマンド&コントロール(C&C)インフラに誘導し、ペイロードは74.194.191.52から悪意のあるシェルスクリプトをダウンロードしようとしました。
この発見を通常のボットネット活動と区別したのは、User-Agent文字列に直接埋め込まれた明示的な攻撃者署名「bang2013 @atomicmail.io」でした。これは、驚くべき運用上の自信、またはキャンペーンの評判を確立したり責任を主張したりするために意図的に公開された属性を示しています。
劇的なインフラの進化
RondoDox v1とv2の間のアーキテクチャ変更は、標的戦略とインフラの洗練における意識的な変化を強調しています。2024年9月に検出されたオリジナル版は、単一のコマンドサーバーから動作し、DVRおよびルーターデバイスを標的とする2つの既知のエクスプロイトのみを利用していました。更新されたバージョンは、侵害された住宅用IPアドレスに分散された複数のコマンドサーバーを維持しており、これは属性特定とインフラのテイクダウンを複雑にする戦術的な転換です。C&Cインフラは、74.194.191.52、38.59.219.27、83.252.42.112、および89.187.180.101に拡大しており、回復力のための地理的分布またはセグメント化された運用ターゲットを示唆しています。
脅威ランドスケープは、ほぼ10年間のセキュリティ開示にわたる脆弱性を網羅しています。RondoDox v2は、以下のデバイスやソフトウェアを標的としています。
- D-Linkルーター: CVE-2015-2051, CVE-2019-16920, CVE-2020-25506
- GNU Bash ShellShock: CVE-2014-6271
- Netgearデバイス: CVE-2016-6277, CVE-2020-27867, CVE-2024-12847
- Apache HTTPサーバー: CVE-2021-41773, CVE-2021-42013
さらに、TOTOLINK CVE-2025-1829やTenda CVE-2025-7414のような最近の2025年の脆弱性の組み込みは、攻撃者が新たに開示された脆弱性を迅速にエクスプロイトフレームワークに組み込む、活発な脆弱性インテリジェンス運用を示しています。エクスプロイトの大部分は、CWE-78に分類されるコマンドインジェクションの脆弱性を利用しており、攻撃者は最小限のユーザーインタラクションで任意のシステムコマンドを実行できます。
技術的アーキテクチャと永続化
ドロッパースクリプトの分析は、洗練された回避および永続化戦略を明らかにしています。シェルスクリプト実行可能ファイル(rondo.dtm.sh)は、xmrigマイナーや競合するボットネットインスタンスを含む既存のマルウェア感染を体系的に排除する積極的な競合排除を実行します。セキュリティバイパスメカニズムは、マルウェア実行前にSELinuxとAppArmorを無効にし、重要なカーネルレベルの保護を削除します。
マルウェアは、x86_64、i686、ARMバリアント、MIPS、PowerPC、SPARCなど、16種類の異なるCPUアーキテクチャで実行を試み、異種インフラ環境全体で最大の互換性を確保しています。コンパイルされたバイナリは、高度なアンチ分析特性を示します。静的リンクは、システムライブラリに依存しないポータブルな実行可能ファイルを作成し、サンドボックス検出と分析を複雑にします。積極的なシンボルストリッピングは、リバースエンジニアからの機能を不明瞭にし、XORエンコードされた設定文字列は、C&C通信プロトコルとマルウェア機能を隠蔽します。
デコードされた文字列は、「ハンドシェイク」プロトコル開始、UDP生ソケットDDoS操作、仮想化環境の検出などの重要な機能を示しています。バイナリは、終了コード137(SIGKILL)を監視し、サンドボックスまたは自動分析環境で検出された場合に自動的に実行を終了します。
拡大された攻撃対象
エクスプロイトベクトルの650%の拡大は、脅威モデルを根本的に変えます。RondoDox v1が主に消費者向けIoTインフラを脅かしていたのに対し、RondoDox v2は現在、SOAPインジェクション攻撃(CVE-2017-10271)に対して脆弱なWebLogicアプリケーションサーバー、QNAP NVRストレージシステム(CVE-2023-47565)、Digiever監視インフラ(CVE-2023-52163)などの企業アプリケーションを標的としています。この多様化は、オペレーターのプロフェッショナル化と、最大のボットネットリーチを求める組織化されたサイバー犯罪グループまたは国家支援のエンティティとの潜在的なコラボレーションを示唆しています。
バイナリに埋め込まれたDDoS機能は、攻撃的なネットワーク運用に関する専門知識を示しています。HTTPフラッド攻撃は正当なゲームトラフィックを模倣し、UDP生ソケット攻撃はプロトコル固有の回避を利用し、TCP SYNフラッドは古典的な帯域幅枯渇技術を採用しています。OpenVPN、WireGuard、Valveゲーム、Minecraft、Fortnite、Discordトラフィックを装ったプロトコル模倣は、トラフィック分析とインライン脅威検出システムを回避するように設計された洗練されたネットワーク回避を示しています。
組織は、ネットワークセグメンテーションを直ちに監査し、既知の良好なC&C IPアドレス(74.194.191.52、38.59.219.27、83.252.42.112、89.187.180.101)へのアウトバウンド接続を制限し、特定のインフラを標的とするCVEのパッチ適用を優先する必要があります。広範なエクスプロイトカバレッジ、企業ターゲット、および高度な回避メカニズムの組み合わせにより、RondoDox v2は、あらゆる規模の組織で即座の防御行動を必要とする重大な脅威として位置付けられています。