Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Mạng botnet RondoDox khai thác lỗ hổng React2Shell để xâm nhập máy chủ Next.js

08:51 | 03/01/2026
Hồng Đạt

Mạng botnet RondoDox hiện đang khai thác lỗ hổng nghiêm trọng React2Shell (CVE-2025-55182) để lây nhiễm mã độc và phần mềm khai thác tiền điện tử vào các máy chủ Next.js dễ bị tổn thương.

Được Fortinet ghi nhận lần đầu vào tháng 7/2025, RondoDox là một mạng botnet quy mô lớn nhắm mục tiêu vào nhiều lỗ hổng bảo mật n-day trong các cuộc tấn công toàn cầu. Vào tháng 11/2025, VulnCheck đã phát hiện các biến thể RondoDox mới có chứa mã khai thác cho CVE-2025-24893, một lỗ hổng thực thi mã từ xa nghiêm trọng trong nền tảng XWiki.

Một báo cáo mới từ Công ty an ninh mạng CloudSEK cho biết RondoDox đã bắt đầu rà quét các máy chủ Next.js tồn tại các điểm yếu và lỗ hổng vào ngày 8/12, đồng thời triển khai các máy khách botnet ba ngày sau đó.

React2Shell là một lỗ hổng thực thi mã từ xa không cần xác thực, có thể bị khai thác thông qua một yêu cầu HTTP duy nhất và ảnh hưởng đến tất cả các framework triển khai giao thức Flight của React Server Components (RSC), bao gồm cả Next.js.

Lỗ hổng này đã bị một số nhóm tội phạm mạng lợi dụng để xâm nhập nhiều tổ chức khác nhau. Trong đó, tin tặc Triều Tiên đã lợi dụng React2Shell để triển khai một họ phần mềm độc hại mới có tên EtherRAT.

CloudSEK cho biết RondoDox đã trải qua ba giai đoạn hoạt động khác nhau trong năm nay:

- Trinh sát và kiểm tra lỗ hổng bảo mật từ tháng 3 đến tháng 4/2025.

- Khai thác tự động lỗ hổng bảo mật ứng dụng web từ tháng 4 đến tháng 6/2025.

- Triển khai mạng botnet IoT quy mô lớn từ tháng 7 đến nay.

Về React2Shell, các nhà nghiên cứu báo cáo rằng RondoDox tập trung khai thác lỗ hổng này một cách đáng kể trong thời gian gần đây, thực hiện hơn 40 nỗ lực khai thác trong vòng sáu ngày của tháng 12.

Trong giai đoạn hoạt động này, mạng botnet thực hiện các đợt tấn công khai thác IoT hàng giờ nhắm vào Linksys, Wavlink và các router dành cho người tiêu dùng và doanh nghiệp khác để “tuyển mộ” các bot mới.

Sau khi dò tìm các máy chủ có khả năng dễ bị tổn thương, CloudSEK chia sẻ RoundDox đã bắt đầu triển khai các dòng mã độc, bao gồm một phần mềm khai thác tiền điện tử (/nuts/poop), một loader và phần mềm kiểm tra mạng botnet (/nuts/bolts), cùng một biến thể của Mirai (/nuts/x86).

CloudSEK đưa ra một loạt các khuyến nghị cho các công ty để bảo vệ chống lại hoạt động RondoDox này, trong đó có việc kiểm tra và vá lỗi các hành động máy chủ Next.js, cách ly các thiết bị IoT vào các mạng LAN ảo chuyên dụng và giám sát các tiến trình đáng ngờ đang được thực thi.

Twitter Zalo Facebook YouTube Copy Link QR Code
RONDODOX LỖ HỔNG BẢO MẬT BOTNET REACT2SHELL KHAI THÁC TIỀN ĐIỆN TỬ KHAI THÁC MẠNG BOTNET NEXT.JS THỰC THI MÃ TỪ XA LỖ HỔNG N-DAY
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết