Wprowadzenie do problemu / definicja
RondoDox to botnet rozwijany z myślą o masowym skanowaniu internetu i kompromitowaniu podatnych urządzeń oraz usług dostępnych z sieci publicznej. Najnowsze obserwacje pokazują, iż operatorzy tej infrastruktury znacząco zwiększyli liczbę wykorzystywanych luk bezpieczeństwa, jednocześnie udoskonalając sposób doboru exploitów. To przykład współczesnego zagrożenia, które łączy automatyzację, szybkie wdrażanie publicznie dostępnych technik ataku oraz elastyczne zarządzanie aktywnym arsenałem podatności.
W skrócie
W analizowanym okresie od 25 maja 2025 r. do 16 lutego 2026 r. botnet RondoDox miał identyfikować i wykorzystywać 174 różne podatności. W tej puli znalazło się 148 luk z przypisanymi numerami CVE, 15 przypadków z publicznie dostępnym kodem PoC bez numeru CVE oraz 11 podatności bez publicznie potwierdzonego PoC.
Szczyt aktywności obejmował choćby 15 tys. prób eksploatacji dziennie. Jednocześnie od początku 2026 r. zaobserwowano zmianę strategii: zamiast szerokiego testowania dużej liczby wektorów ataku operatorzy zaczęli koncentrować się na mniejszej liczbie bardziej perspektywicznych exploitów.
Kontekst / historia
Aktywność RondoDox była opisywana już w 2025 roku przez różne zespoły badawcze zajmujące się analizą zagrożeń. W czerwcu 2025 r. botnet wiązano m.in. z wykorzystaniem luki CVE-2023-1389 w routerach TP-Link Archer AX21. W kolejnych miesiącach pojawiały się informacje o atakach na urządzenia sieciowe, rejestratory DVR i NVR, systemy CCTV oraz serwery webowe.
Jesienią 2025 r. skala operacji wyraźnie wzrosła. Botnet miał wtedy wykorzystywać dziesiątki znanych podatności w ponad 30 typach urządzeń. Pod koniec roku zainteresowanie operatorów objęło również środowiska aplikacyjne, w tym podatność React2Shell oznaczoną jako CVE-2025-55182, używaną do dostarczania złośliwego systemu i koparek kryptowalut.
Analiza techniczna
Najbardziej charakterystyczną cechą RondoDox nie jest sama liczba wykorzystywanych luk, ale sposób zarządzania nimi. Operatorzy nie utrzymywali statycznej, stale rosnącej listy exploitów, ale dynamicznie dodawali i usuwali kolejne wektory ataku. Taki model sugeruje ciągłe testowanie skuteczności, opłacalności i zasięgu poszczególnych podatności.
Dane telemetryczne wskazują, iż niemal połowa z 174 luk została użyta tylko raz. Może to oznaczać fazę szybkiego rozpoznania, w której botnet sprawdza dostępność podatnych systemów, jakość kodu exploitacyjnego i realną skuteczność infekcji. W październiku 2025 r. dzienna liczba aktywnie wykorzystywanych podatności osiągnęła poziom 49, a następnie ustabilizowała się w okolicach 40. Na początku stycznia 2026 r. nastąpił jednak gwałtowny spadek do zaledwie dwóch dominujących luk, co wskazuje na zmianę modelu operacyjnego.
Istotna jest również szybkość adaptacji nowo ujawnianych podatności. W przypadku CVE-2025-55182 exploit miał zostać wdrożony zaledwie kilka dni po publicznym ujawnieniu problemu. To pokazuje, iż operatorzy aktywnie monitorują publikacje badaczy, repozytoria z PoC oraz branżowe doniesienia o nowych lukach. Jednocześnie część implementacji exploitów była niedopracowana, co sugeruje, iż wysoka dynamika działań nie zawsze idzie w parze z pełną dojrzałością techniczną.
Analizy infrastruktury przypisywanej RondoDox podważyły też część wcześniejszych hipotez obecnych w środowisku threat intelligence. Wskazano, iż domniemany panel typu loader-as-a-service był w rzeczywistości logiem żądań HTTP POST, a tezy o architekturze P2P C2 nie znalazły potwierdzenia. Bardziej prawdopodobny pozostaje model oparty na klasycznych serwerach command-and-control oraz hostach służących do dystrybucji ładunków.
Konsekwencje / ryzyko
Z perspektywy obrońców największym problemem jest szerokie spektrum atakowanych technologii. RondoDox nie ogranicza się do jednego producenta ani jednej kategorii systemów. Obejmuje urządzenia brzegowe, sprzęt IoT, systemy monitoringu, serwery usługowe oraz aplikacje internetowe. To zwiększa prawdopodobieństwo, iż organizacje posiadające rozproszone środowisko IT mają przynajmniej jeden podatny punkt wejścia.
Dodatkowe ryzyko wynika z tempa działania botnetu. o ile nowa podatność z publicznie dostępnym PoC może zostać uzbrojona w ciągu kilku dni, okno na skuteczne wdrożenie poprawek lub obejść bezpieczeństwa staje się bardzo krótkie. Skutkiem może być przejęcie urządzeń, instalacja malware, uruchamianie koparek kryptowalut, rozbudowa infrastruktury botnetowej lub wykorzystanie zainfekowanych hostów do kolejnych kampanii DDoS i masowego skanowania internetu.
Ważnym zagrożeniem pozostaje również błędna interpretacja danych wywiadowczych. Przypadek RondoDox pokazuje, iż niezweryfikowane wnioski dotyczące infrastruktury przeciwnika mogą prowadzić do fałszywego obrazu zagrożenia, a w konsekwencji do nietrafionych decyzji w obszarze detekcji i reagowania.
Rekomendacje
Organizacje powinny priorytetowo traktować zarządzanie podatnościami w systemach wystawionych do internetu, szczególnie w urządzeniach brzegowych, routerach, rejestratorach, kamerach IP, serwerach aplikacyjnych i platformach webowych. najważniejsze jest skrócenie czasu między publikacją informacji o luce a wdrożeniem poprawek lub działań ograniczających ryzyko.
- prowadzić ciągły inwentarz zasobów internet-facing, w tym urządzeń IoT i środowisk peryferyjnych;
- monitorować nowe CVE oraz publiczne PoC pod kątem technologii używanych w organizacji;
- ograniczać ekspozycję interfejsów administracyjnych do VPN i zaufanych adresów;
- stosować segmentację sieci dla urządzeń monitoringu, DVR/NVR i systemów pomocniczych;
- wdrażać reguły detekcyjne oparte na anomaliach ruchu skanującego, nietypowych User-Agentach i wzorcach pobierania payloadów;
- analizować logi HTTP POST, pobrania skryptów oraz próby wykorzystania znanych exploitów;
- korzystać z IDS/IPS, WAF oraz mechanizmów virtual patching tam, gdzie natychmiastowa aktualizacja nie jest możliwa;
- prowadzić regularny threat hunting pod kątem oznak wtórnej kompromitacji, takich jak nieautoryzowane procesy, koparki, droppery i połączenia do serwerów C2.
W środowiskach o podwyższonym ryzyku warto dodatkowo tworzyć szybkie procedury reagowania dla świeżo ujawnionych podatności, zwłaszcza tych, dla których publicznie dostępny jest kod exploitacyjny.
Podsumowanie
RondoDox pokazuje, jak nowoczesny botnet może przejść od szerokiego eksperymentowania z wieloma lukami do bardziej selektywnej eksploatacji tych podatności, które dają najwyższą skuteczność. Skala działań, sięgająca 15 tys. prób dziennie, potwierdza, iż choćby częściowo niedoskonałe technicznie kampanie pozostają groźne dzięki automatyzacji i szybkiemu reagowaniu na nowe publikacje dotyczące bezpieczeństwa.
Dla zespołów bezpieczeństwa najważniejsze znaczenie ma dziś nie tylko patch management, ale także szybka walidacja ekspozycji, adekwatna interpretacja telemetryki oraz gotowość do reagowania na masowe, zautomatyzowane fale skanowania i eksploatacji.
Źródła
- Security Affairs — https://securityaffairs.com/189569/malware/rondodox-botnet-expands-arsenal-targeting-174-flaws-and-hits-15000-daily-exploit-attempts.html
- Trend Micro — https://www.trendmicro.com/en_us/research.html
- FortiGuard Labs — https://www.fortinet.com/blog/threat-research
- NVD: CVE-2023-46604 — https://nvd.nist.gov/vuln/detail/CVE-2023-46604
- NVD: CVE-2025-55182 — https://nvd.nist.gov/vuln/detail/CVE-2025-55182