文章总结： 网络安全研究人员披露RondoDox僵尸网络利用React2Shell漏洞攻击物联网设备和Web服务器。该活动历时九个月，主要针对Next.js服务器投放挖矿程序和Mirai变种，并具备清除竞品的能力。建议组织更新Next.js版本，隔离IoT设备，部署WAF并监控可疑进程以防范风险。 综合评分： 90 文章分类： 威胁情报,恶意软件,IoT安全,漏洞预警,WEB安全

RondoDox僵尸网络利用React2Shell的严重漏洞挟持物联网设备和web服务器

原创

网络安全9527

安全圈的那点事儿

2026年1月2日 16:11 北京

网络安全研究人员披露了一项持续九个月的攻击活动的细节，该活动的目标是物联网 (IoT) 设备和 Web 应用程序，目的是将它们加入一个名为 RondoDox 的僵尸网络。

CloudSEK在一份分析报告中指出，截至 2025 年 12 月，该活动已被观察到利用最近披露的React2Shell（CVE-2025-55182，CVSS 评分：10.0）漏洞作为初始访问途径。

React2Shell 是 React Server Components (RSC) 和 Next.js 中一个严重安全漏洞的名称，该漏洞可能允许未经身份验证的攻击者在易受攻击的设备上执行远程代码。

根据 Shadowserver 基金会的统计数据，截至 2025 年 12 月 31 日，仍有约90,300 个实例容易受到该漏洞的影响，其中68,400 个实例位于美国，其次是德国（4,300 个）、法国（2,800 个）和印度（1,500 个）。

RondoDox 于 2025 年初出现，并通过在其攻击武器库中添加新的 N 天安全漏洞（包括CVE-2023-1389和CVE-2025-24893 ）扩大了其规模。值得注意的是， Darktrace、卡巴斯基和VulnCheck此前都曾指出，该僵尸网络利用 React2Shell 进行传播。

据评估，RondoDox僵尸网络攻击活动在利用CVE-2025-55182漏洞之前经历了三个不同的阶段——

• 2025年3月至4月 – 初步侦察和人工漏洞扫描
• 2025年4月至6月——每日对WordPress、Drupal和Struts2等Web应用程序以及Wavlink路由器等物联网设备进行大规模漏洞探测
• 2025年7月至12月初——大规模自动化部署（按小时计费）

在 2025 年 12 月检测到的攻击中，威胁行为者据称发起了扫描以识别易受攻击的 Next.js 服务器，然后尝试在受感染的设备上投放加密货币挖矿程序（“/nuts/poop”）、僵尸网络加载器和健康检查器（“/nuts/bolts”）以及 Mirai 僵尸网络变种（“/nuts/x86”）。

“/nuts/bolts”旨在从其命令与控制 (C2) 服务器下载主僵尸程序二进制文件之前，终止其他恶意软件和挖矿程序。该工具的一个变种已被发现可以清除已知的僵尸网络、基于 Docker 的有效载荷、先前攻击活动遗留的痕迹以及相关的定时任务，同时还可以使用“/etc/crontab”设置持久化。

CloudSEK 表示：“它会持续扫描 /proc 目录，枚举正在运行的可执行文件，并每隔约 45 秒终止未列入白名单的进程，从而有效防止竞争对手再次感染。”

为了降低此威胁带来的风险，建议各组织尽快将 Next.js 更新到已打补丁的版本，将所有 IoT 设备划分到专用 VLAN 中，部署 Web 应用程序防火墙 (WAF)，监控可疑进程的执行，并阻止已知的 C2 基础设施。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527《RondoDox僵尸网络利用React2Shell的严重漏洞挟持物联网设备和web服务器》