كشفت تقارير أمنية حديثة عن تكثيف تهديدات برنامج RondoDoX الخبيث لحملاته ضد المؤسسات، وذلك من خلال استغلال ثغرات حديثة في تطبيقات الويب وأجهزة إنترنت الأشياء. يعمل هذا البرنامج عبر مراحل متعددة تبدأ بمسح الأنظمة الضعيفة وتتصاعد إلى نشر برمجيات تعدين العملات المشفرة وحمولات لشبكات الروبوت الضارة.
وبحسب التحليلات، فقد امتدت حملة RondoDoX على مدار تسعة أشهر، من مارس إلى ديسمبر 2025، حيث أظهرت المجموعة المسؤولة عن التهديد نهجاً مستمراً لاختراق البنى التحتية للمؤسسات. تظهر الحملة ثلاث مراحل متميزة للهجوم، كل منها أكثر تعقيداً من سابقتها، مما يشير إلى تزايد قدرات المخترقين.
برنامج RondoDoX الخبيث يستغل ثغرات متقدمة
بدأت المرحلة الأولى بالمسح اليدوي للثغرات الأمنية على منصات مختلفة. في أبريل 2025، انتقلت المجموعة إلى عمليات مسح آلية يومية تستهدف أطر عمل الويب المتعددة. أما المرحلة النهائية، التي بدأت في يوليو 2025، فشهدت تصعيد الهجمات إلى محاولات نشر كل ساعة، مما يعكس التزام المهاجمين بالاستغلال المستمر واختراق البنى التحتية.
تم تحديد العشرات من متغيرات برنامج RondoDoX الخبيث من خلال مسح البنية التحتية الضارة، حيث اكتشف المحللون ستة خوادم قيادة وتحكم مؤكدة. وكشفت سجلات الأوامر عن أنماط هجوم مفصلة واستخدام للبنية التحتية عبر الجدول الزمني للحملة بأكملها، مما يوفر رؤية واضحة لعملياتهم.
آلية هجوم RondoDoX
كان التطور الأبرز هو البدء باستغلال ثغرة حرجة في Next.js لنشر حمولات React2Shell في ديسمبر 2025. وهذا الانتقال يوضح قدرة المجموعة على التكيف بسرعة وتبني نقاط الضعف الأمنية المكتشفة حديثاً. تبدأ سلسلة الهجوم بتحديد الخوادم الضعيفة من خلال اختبار التنفيذ عن بعد، يليه نشر ملفات ELF تقوم بتنزيل حمولات ضارة من بنية تحتية للقيادة والتحكم النشطة.
يمتلك برنامج RondoDoX الخبيث قدرات متطورة للمحافظة على وجوده وتجنب الكشف. بمجرد نشره، يقوم هذا البرنامج الضار بتأسيس استمراريته من خلال تكوين مهام مجدولة في ملفات النظام، ويقوم بإنهاء البرامج الضارة المنافسة بقوة للاستحواذ على موارد النظام. تشتمل الحمولات على برامج تعدين العملات المشفرة وأطر دعم مصممة للهيمنة طويلة الأمد على الأجهزة المخترقة.
يدعم برنامج RondoDoX العديد من معماريات المعالجات، بما في ذلك x86، x86_64، MIPS، ARM، و PowerPC. كما يستخدم آليات تنزيل بديلة متعددة باستخدام بروتوكولات wget، curl، tftp، و ftp لضمان تسليم الحمولات بنجاح عبر بيئات المؤسسات المتنوعة.
تواجه المؤسسات التي لديها أجهزة توجيه متصلة بالإنترنت، كاميرات، وتطبيقات تستخدم Next.js Server Actions خطراً فورياً. تظل تدابير الدفاع الحيوية مثل تجزئة الشبكة، وتطبيق التصحيحات الأمنية للتطبيقات الضعيفة فوراً، ونشر جدار حماية تطبيقات الويب، والمراقبة المستمرة لتنفيذ العمليات المشبوهة في الدلائل المؤقتة، ضرورية. بالإضافة إلى ذلك، فإن حظر البنية التحتية المحددة للقيادة والتحكم عند جدران الحماية المحيطية يوفر حماية حرجة قصيرة المدى من محاولات الاستغلال النشطة.