La botnet RondoDox rappresenta una delle minacce emergenti più insidiose nel panorama della sicurezza informatica del 2025. Questo malware si diffonde sfruttando vulnerabilità note nei dispositivi TBK digital video recorder e nei router Four-Faith, coinvolgendo in particolare i modelli TBK DVR-4104, DVR-4216, F3x24 e F3x36. Queste falle di sicurezza, tra cui le CVE-2024-3721 e CVE-2024-12856, sono state oggetto di disclosure pubblica e sono attivamente sfruttate dai cybercriminali per compromettere reti di aziende e ambienti critici, come negozi, magazzini e uffici, spesso trascurati e poco aggiornati.

Caratteristiche principali di RondoDox

RondoDox si distingue dalle tradizionali botnet non solo per la capacità di prendere il controllo dei dispositivi vulnerabili, ma soprattutto per il modo in cui utilizza questi dispositivi come proxy stealth. Gli attaccanti riescono così a mascherare il proprio traffico di comando e controllo, a lanciare campagne DDoS su commissione e a orchestrare truffe multilivello, unendo frode finanziaria e interruzione dei servizi infrastrutturali.

Metodi di infezione e persistenza

Scoperta per la prima volta a settembre 2024, questa botnet si è rapidamente adattata per colpire sistemi Linux su architetture ARM, MIPS e molte altre, grazie a un dropper multiarchitettura distribuito tramite shell script. Il dropper si occupa di rendere persistente l’infezione, ignorando i segnali di terminazione e cercando directory scrivibili dove insediarsi. Una volta installato, il malware cancella la cronologia dei comandi per ridurre le tracce e modifica il nome di file eseguibili chiave come iptables, passwd, shutdown e reboot, rendendo difficile la bonifica del sistema.

Tecniche di evasione e comunicazione

RondoDox impiega avanzate tecniche di evasione per restare nascosto: termina processi di analisi di rete, di download come wget e curl, e persino altri malware concorrenti. Per le comunicazioni, simula traffico legittimo di servizi popolari come Valve, Minecraft, Discord, OpenVPN e altri, così da confondersi tra le normali attività di rete e sfuggire ai controlli degli amministratori.

Comandi remoti e confronto con altre minacce

La botnet si connette periodicamente a server esterni da cui riceve istruzioni per lanciare attacchi DDoS tramite protocolli HTTP, UDP e TCP. L’uso di payload cifrati e risoluzione DNS over HTTPS è solo una delle tecniche che la rendono particolarmente elusiva rispetto ai sistemi IDS tradizionali. RondoDox si posiziona così accanto a minacce come RustoBot e Mozi, dimostrando come la carenza di aggiornamenti nei dispositivi IoT e router continui a offrire terreno fertile per attacchi sofisticati e persistenti.