La botnet RondoDox sta rapidamente emergendo come una delle maggiori minacce alla sicurezza delle reti, evolvendosi e sfruttando oltre 50 vulnerabilità note e non, distribuite tra più di 30 produttori di dispositivi. Secondo recenti ricerche nel settore della cybersecurity, le campagne malware che distribuiscono RondoDox adottano una strategia definita “exploit shotgun”, colpendo indiscriminatamente infrastrutture esposte su Internet come router, DVR, NVR, sistemi di videosorveglianza, web server e numerosi dispositivi di rete.
Il primo rilevamento e l’ampliamento degli exploit
Il primo rilevamento di un attacco condotto da RondoDox risale a giugno 2025, con lo sfruttamento della vulnerabilità CVE-2023-1389 sui router TP-Link Archer, già oggetto di attacchi attivi dal 2022. Da allora, la botnet non solo ha ampliato la sua portata, ma ha anche integrato una vasta gamma di exploit, ora arrivati a 56, di cui ben 18 privi di identificativo CVE ufficiale. Tra i vendor presi di mira figurano marchi noti come D-Link, NETGEAR, Linksys, Cisco, QNAP, Zyxel e molti altri, a testimonianza della natura trasversale della minaccia.
L’arsenale e la tecnica “loader-as-a-service”
L’arsenale di RondoDox si è ulteriormente arricchito grazie a un’infrastruttura “loader-as-a-service”, che permette di veicolare simultaneamente payload di malware diversi come Mirai e Morte. Questa modalità di distribuzione agevola la compromissione di dispositivi IoT, router SOHO e applicazioni enterprise sfruttando credenziali deboli, input non filtrati e vulnerabilità non ancora risolte.
Il contesto delle botnet e gli attacchi DDoS
Il fenomeno RondoDox si inserisce in un più ampio contesto di crescita delle botnet che sfruttano Internet of Things e dispositivi di rete come piattaforma per attacchi DDoS su larga scala. Un esempio recente è la botnet AISURU, che controlla circa 300.000 dispositivi compromessi e ha condotto alcuni degli attacchi DDoS più potenti degli ultimi tempi, sfruttando in particolare dispositivi ospitati da provider americani.
Operazioni coordinate e vettori di attacco
Parallelamente, è stata scoperta un’operazione botnet coordinata che coinvolge oltre 100.000 IP unici da almeno 100 Paesi, focalizzata su attacchi ai servizi RDP negli Stati Uniti. Questi attacchi, spesso centralizzati e automatizzati, impiegano vettori come timing attack su RD Web Access e tecniche di enumerazione degli accessi RDP, confermando una crescente professionalizzazione e organizzazione delle campagne malevole.
La rapida evoluzione di RondoDox e di altre botnet simili impone la massima attenzione da parte delle aziende e dei singoli utenti, sottolineando l’urgenza di aggiornare i dispositivi, rafforzare le credenziali e monitorare costantemente la sicurezza delle proprie infrastrutture di rete.