Una nuova campagna di botnet chiamata RondoDox sta colpendo in modo continuo da mesi dispositivi IoT e applicazioni web, con l’obiettivo di arruolare sistemi compromessi in una rete controllata da criminali informatici. Il punto di forza di questa offensiva è lo sfruttamento della vulnerabilità React2Shell, identificata come CVE-2025-55182 e valutata con gravità massima. Il problema riguarda React Server Components e Next.js e permette a un attaccante non autenticato di ottenere esecuzione di codice da remoto, aprendo la strada al controllo completo del server vulnerabile.

Il rischio è amplificato dai numeri: a fine 2025 risultano ancora decine di migliaia di istanze esposte, con una concentrazione elevata negli Stati Uniti e una presenza significativa anche in Europa e Asia. Questo significa che molte aziende, sviluppatori e provider potrebbero avere applicazioni Next.js pubblicate online senza patch, diventando bersagli facili per scansioni automatiche.

RondoDox non è un fenomeno improvvisato. La campagna è stata descritta come evoluta in più fasi, partendo da ricognizione e scansioni manuali, passando a test di vulnerabilità su larga scala contro piattaforme diffuse come WordPress, Drupal e Struts2, oltre a dispositivi IoT come router, fino ad arrivare a una distribuzione automatizzata e frequente dei payload. Nel periodo più recente gli attaccanti avrebbero cercato server Next.js vulnerabili per installare componenti diversi: miner di criptovalute, strumenti di caricamento e controllo dello stato del sistema e persino una variante di Mirai, nota per trasformare dispositivi IoT in nodi utili per attacchi DDoS.

Un elemento chiave è il loader che elimina malware concorrenti e miner rivali, ripulendo processi e tracce, e poi imposta persistenza tramite modifiche pianificate, così da mantenere il controllo nel tempo. Questa strategia rende più difficile la bonifica e aumenta la stabilità della botnet.

Per ridurre il rischio è fondamentale aggiornare Next.js a versioni corrette, separare i dispositivi IoT in VLAN dedicate, usare un WAF per filtrare richieste malevole, monitorare esecuzioni di processi sospetti e bloccare infrastrutture di comando e controllo note, migliorando la postura di sicurezza di rete e applicazioni web.