كشف تقرير أمني حديث عن شبكة برمجيات خبيثة جديدة تُعرف باسم “روندو دوكس” (RondoDox)، والتي برزت كتهديد متزايد بفضل قدرتها على استغلال عدد كبير من الثغرات الأمنية المختلفة، مع اعتمادها على بنية تحتية لشبكات الإنترنت السكنية.
تم اكتشاف “روندو دوكس” لأول مرة في مايو 2025، وسرعان ما بدأت بتوليد كميات هائلة من حركة المرور المشبوهة في أنظمة مراقبة الأمن، لتتطور لاحقاً إلى عملية منظمة قادرة على إطلاق ما يصل إلى 15,000 محاولة استغلال في اليوم الواحد.
ويُظهر مشغلو هذه الشبكة طموحاً تقنياً وصبراً تشغيلياً، حيث يديرون البنية التحتية التي تدعم هجماتهم بعناية فائقة.
شبكة “روندو دوكس” تركز على استغلال الثغرات
“روندو دوكس” مبنية على نفس الأساس البرمجي لشبكة “ميراي” (Mirai) الشهيرة، وهي شبكة برمجيات خبيثة مفتوحة المصدر استغلها العديد من الجهات الخبيثة على مر السنين. ومع ذلك، فإن “روندو دوكس” تختلف عن “ميراي” بتركيزها الكامل على شن هجمات منع الخدمة (DoS)، بدلاً من البحث عن أهداف جديدة وتنفيذ الهجمات.
أفاد محللون من شركة Bitsight بأنهم تعرفوا على هذه الشبكة بعد ملاحظتهم لحجم حركة المرور الكبير الذي كانت تولده في أنظمتهم الأمنية. وقد قام مشغلو “روندو دوكس” بتوسيع قدراتها بشكل ملحوظ، حيث بنوا مجموعة أدوات تشمل حالياً 174 ثغرة أمنية مختلفة، وهو عدد يعتبر غير شائع بين التهديدات من هذا النوع.
تدعم الشبكة أيضاً 18 بنية نظام مختلفة، بما في ذلك x86_64، و ARM، و MIPS، و PowerPC، وغيرها، مما يمكّنها من استهداف نطاق واسع من الأجهزة المتصلة بالإنترنت.
استغلال الثغرات الجديدة وتنوعها
خلال التحقيقات، وجد باحثون أن 148 من الثغرات الـ 174 الموثقة مرتبطة بـ CVEs معروفة، بينما كان لـ 15 منها دليل إثبات مفاهيم عام (public proof-of-concept) لكن بدون CVE رسمي، و 11 ثغرة لم يكن لها أي دليل إثبات مفاهيم متاح للعامة على الإطلاق.
كما لاحظ الباحثون نشاطاً واضحاً من قبل المشغلين في تتبع إعلانات الثغرات الأمنية، حيث تم نشر بعض الاستغلالات في غضون أيام قليلة من نشرها رسمياً. وفي إحدى الحالات، تم استغلال CVE-2025-62593 قبل نشر رقم CVE الخاص بها رسمياً.
في بداية عملياتها، اتبعت شبكة “روندو دوكس” ما وصفه الباحثون بـ “نهج إطلاق النار العشوائي”، حيث كانت ترسل عدة استغلالات في وقت واحد نحو نفس الهدف، على أمل أن ينجح أحدها. وبلغ عدد الثغرات المميزة المستخدمة في يوم واحد 49 ثغرة في 19 أكتوبر 2025، قبل أن ينخفض هذا العدد إلى ثغرتين نشطتين فقط بحلول يناير 2026، مما يشير إلى تحول نحو التركيز على الأهداف ذات القيمة العالية.
ويُعد دمج ثغرات جديدة بسرعة، مثل CVE-2025-55182 المعروفة باسم React2Shell، والتي تم اكتشافها في 3 ديسمبر 2025 وتمت إضافتها إلى قائمة الاستغلالات الخاصة بالشبكة بعد ثلاثة أيام فقط، دليلاً على وجود تهديد منظم جيداً ومتحمس يتطلب اهتماماً جدياً من فرق الأمن.
البنية التحتية لشبكات IP السكنية: طبقة استضافة خادعة
من أبرز التفاصيل التي كشف عنها البحث هو استخدام “روندو دوكس” لعناوين IP سكنية مخترقة لاستضافة حمولتها الخبيثة. وقد رصدت Bitsight 32 عنوان IP عبر فترة المراقبة، 16 منها مخصصة للاستغلال و 16 للاستضافة.
بينما تم تتبع عناوين IP المستخدمة للاستغلال إلى مزودي خدمات استضافة يقبلون العملات المشفرة، فإن عناوين IP للاستضافة أشارت في الغالب إلى مزودي خدمة إنترنت عاديين في دول مثل الولايات المتحدة وكندا والسويد والصين وتونس.
بحسب بيانات Groma، وجد الباحثون أن أربعة من أصل 11 عنوان IP للاستضافة السكنية كانت تكشف عن خدمات قد تكون عرضة للخطر، بما في ذلك واجهة UniFi Protect، ونظامي تحكم منزل ذكي Control4، وخادم ويب لتلفزيون TCL Android TV. وتشير الأدلة بقوة إلى أن هذه أجهزة منزلية تم اختراقها وتستخدم دون علم أصحابها كبنية تحتية للشبكة الخبيثة.
كما تستخدم خوادم الاستضافة آلية حظر (blacklisting)، حيث تعيد صفحة وهمية تحتوي على فيديو في الخلفية وزر غير فعال لمنع المحللين. وتقليداً لبعض التقنيات المستخدمة في السابق، يمكن تعطيل الوظائف دون أي استجابة من جانب المستخدم.
للحد من المخاطر، يُنصح المؤسسات بتحديث الأجهزة المتصلة بالإنترنت بانتظام، وتعطيل خدمات الوصول عن بعد غير المستخدمة، ومراقبة حركة مرور الشبكة بحثًا عن الاتصالات المشبوهة، مع الاستفادة من مؤشرات الاختراق (IOCs) التي تنشرها Bitsight على مستودع GitHub الخاص بها.