كشف باحثون في الأمن السيبراني عن حملة مستمرة منذ تسعة أشهر تستهدف أجهزة إنترنت الأشياء (IoT) وتطبيقات الويب لضمها إلى شبكة روندو دوكس (RondoDox) العنقودية. تم رصد استغلال ثغرة React2Shell (CVE-2025-55182) كمتجه وصول أولي.
تُ عرف ثغرة React2Shell بأنها خلل أمني حرج في مكونات React Server Components (RSC) و Next.js، يمكن أن يسمح للمهاجمين غير المصرح لهم بتنفيذ تعليمات برمجية عن بعد على الأجهزة المتأثرة. وفقًا لإحصائيات Shadowserver Foundation، لا تزال هناك حوالي 90,300 جهة معرضة لهذه الثغرة، غالبيتها في الولايات المتحدة.
حملة روندو دوكس (RondoDox) وتطورها
ظهرت شبكة روندو دوكس (RondoDox) العنقودية في مطلع عام 2025، ووسعت نطاق عملياتها بإضافة ثغرات أمنية جديدة، بما في ذلك CVE-2023-1389 و CVE-2025-24893. وقد سبق لشركات أمن سيبراني أخرى مثل Darktrace و Kaspersky و VulnCheck الإشارة إلى استغلال React2Shell لنشر هذه الشبكة.
مرت حملة روندو دوكس (RondoDox) العنقودية بثلاث مراحل رئيسية قبل استغلال ثغرة React2Shell.
مراحل الحملة
شملت المرحلة الأولى، من مارس إلى أبريل 2025، الاستطلاع الأولي والمسح اليدوي للثغرات. تلتها مرحلة استغرقت من أبريل إلى يونيو 2025، وشملت فحصًا يوميًا مكثفًا لتطبيقات الويب مثل WordPress و Drupal و Struts2، بالإضافة إلى أجهزة إنترنت الأشياء مثل أجهزة توجيه Wavlink.
أما المرحلة الثالثة، من يوليو إلى أوائل ديسمبر 2025، فقد شهدت نشرًا آليًا على نطاق واسع وبشكل شبه فوري. ومع ذلك، فإن الهجمات المكتشفة في ديسمبر 2025 شهدت بداية مختلفة، حيث بدأ المهاجمون في البحث عن خوادم Next.js الضعيفة.
بعد تحديد الخوادم المتأثرة، حاول المهاجمون تحميل برامج تعدين العملات المشفرة، وأداة تحميل الشبكة العنقودية ومدقق الصحة، بالإضافة إلى نسخة من شبكة Mirai العنقودية. تهدف أداة تحميل الشبكة العنقودية إلى إنهاء البرامج الضارة والمنافسة قبل تنزيل الثنائي الرئيسي للشبكة العنقودية من خادم القيادة والتحكم (C2).
تُظهر إحدى نسخ الأداة قدرتها على إزالة شبكات التعدين المعروفة، والحمولات المعتمدة على Docker، وآثار الحملات السابقة، وجدولة المهام المرتبطة بها، مع تأسيس استمرارية الوصول عبر ملف “/etc/crontab”.
تعمل هذه الأداة باستمرار على إنهاء العمليات غير المسموح بها كل 45 ثانية تقريبًا، مما يمنع الإصابة المتكررة من قبل جهات فاعلة منافسة. ولمواجهة هذا التهديد، يُنصح المؤسسات بتحديث Next.js إلى أحدث إصدار، وعزل أجهزة إنترنت الأشياء في شبكات افتراضية، ونشر جدران حماية تطبيقات الويب (WAFs).