Эволюция RondoDox: от «из пушки по воробьям» до точечных ударов 🎯 Ботнет RondoDox, который начал свою активность в мае 2025 с эксплуатации уязвимости CVE-2023-1389 в роутерах TP-Link Archer AX21, эволюционировал. Исследователи Bitsight подвели итоги его кампании с мая 2025 по февраль 2026 — и там есть на что посмотреть. Этот ботнет имеет много общего с Mirai (что неудивительно, учитывая открытый исходный код Mirai). Основное различие между ними заключается в том, что RondoDox способен только на выполнение атак. В то время как Mirai способен ещё и на сканирование и эксплуатацию других систем. 📊 Цифры, которые впечатляют: За время активности ботнет использовал 174 разные уязвимости, совершая до 15 000 попыток атак в день. Под прицелом — DVR, NVR, CCTV, веб-серверы и Next.js (через React2Shell). 🔄 Стратегия меняется на ходу: Сначала злоумышленники били сразу по множеству целей и смотрели, что выстрелит. Почти половина уязвимостей (48%) использовалась всего один день — видимо, тестировали и отбраковывали. Но в январе 2026 года произошёл резкий поворот. Количество одновременно используемых уязвимостей упало с ~40 до... двух 🤯 Злоумышленники решили фокусироваться на самых свежих и хайповых дырах. 🚀 Скорость реакции у злоумышленников — бешеная: Они явно мониторят информацию об уязвимостях 24/7. Яркий пример — уязвимость React2Shell (CVE-2025-55182). Её раскрыли 3 декабря, а в арсенале ботнета она появилась уже 6 декабря. А однажды с CVE-2025-62593 они даже опередили официальную публикацию CVE, что объясняется наличием PoC-кода до официальной даты публикации. Но есть нюанс: скорость не всегда означает качество — некоторые эксплойты изначально реализуются криво. В целом, всё говорит о том, что RondoDox — это не супертехнологичный монстр, а просто очень шустрые ребята, которые умеют учиться на ошибках и экономить на серверах за чужой счёт. #sp_news Telegram | VK | Max