网络安全研究人员披露了一项持续九个月的攻击活动细节,该活动通过入侵物联网(IoT)设备和Web应用,将其纳入名为RondoDox的僵尸网络。据CloudSEK分析报告显示,截至2025年12月,攻击者正利用新披露的React2Shell漏洞(CVE-2025-55182,CVSS评分:10.0)作为初始入侵载体。
高危漏洞影响范围
React2Shell是React Server Components(RSC)和Next.js框架中的关键安全漏洞,可使未认证攻击者在受影响设备上实现远程代码执行。Shadowserver基金会统计数据显示,截至2025年12月31日,全球仍有约90,300个实例存在该漏洞风险,其中美国占68,400个,德国(4,300)、法国(2,800)和印度(1,500)紧随其后。
僵尸网络演进过程
RondoDox僵尸网络自2025年初出现后,通过整合包括CVE-2023-1389和CVE-2025-24893在内的多个N-day漏洞不断扩大攻击规模。值得注意的是,Darktrace、卡巴斯基和VulnCheck此前已预警攻击者滥用React2Shell传播僵尸网络的行为。
该僵尸网络的攻击活动在利用CVE-2025-55182前经历了三个阶段:
- 2025年3-4月:初始侦察与手动漏洞扫描
- 2025年4-6月:每日对WordPress、Drupal、Struts2等Web应用及Wavlink路由器等IoT设备进行大规模漏洞探测
- 2025年7月至12月初:每小时执行自动化大规模部署
最新攻击技术细节
在2025年12月检测到的攻击中,威胁分子首先扫描存在漏洞的Next.js服务器,随后尝试投递加密货币挖矿程序("/nuts/poop")、僵尸网络加载器与健康检查工具("/nuts/bolts")以及Mirai僵尸网络变种("/nuts/x86")。
其中"/nuts/bolts"模块会在从C2服务器下载主僵尸程序前,终止竞品恶意软件和挖矿程序。该工具的某个变种会清除已知僵尸网络、基于Docker的有效载荷、历史攻击残留文件及相关定时任务,同时通过"/etc/crontab"建立持久化机制。CloudSEK指出:"该模块持续扫描/proc目录枚举运行中的可执行文件,每45秒终止非白名单进程,有效防止其他攻击者的重复感染。"
防护建议
为应对此威胁,建议企业采取以下措施:
- 立即将Next.js升级至已修复版本
- 将所有IoT设备划分至专用VLAN
- 部署Web应用防火墙(WAF)
- 监控可疑进程执行行为
- 封锁已知C2基础设施
