文章总结： RondoDox僵尸网络利用高危React2Shell漏洞（CVE-2025-55182）劫持IoT与Next.js服务器实现未认证RCE。攻击者投递挖矿程序及Mirai变种，利用专用模块清理竞品恶意软件以独占资源。建议升级Next.js、隔离IoT设备并部署WAF监控，阻断C2通信及横向移动。 综合评分： 91 文章分类： 恶意软件,IoT安全,漏洞分析,WEB安全,应急响应

RondoDox僵尸网络利用高危React2Shell漏洞劫持IoT设备与Web服务器

FreeBuf

2026年1月2日 18:04 江苏

网络安全研究人员披露了一项持续九个月的攻击活动细节，该活动通过入侵物联网（IoT）设备和Web应用，将其纳入名为RondoDox的僵尸网络。据CloudSEK分析报告显示，截至2025年12月，攻击者正利用新披露的React2Shell漏洞（CVE-2025-55182，CVSS10.0）作为初始入侵载体。

Part01

高危漏洞影响范围

React2Shell是React Server Components（RSC）和Next.js框架中的关键安全漏洞，可使未认证攻击者在受影响设备上实现远程代码执行。Shadowserver基金会统计数据显示，截至2025年12月31日，全球仍有约90,300个实例存在该漏洞风险，其中美国占68,400个，德国（4,300）、法国（2,800）和印度（1,500）紧随其后。

Part02

僵尸网络演进过程

RondoDox僵尸网络自2025年初出现后，通过整合包括CVE-2023-1389和CVE-2025-24893在内的多个N-day漏洞不断扩大攻击规模。值得注意的是，Darktrace、卡巴斯基和VulnCheck此前已预警攻击者滥用React2Shell传播僵尸网络的行为。

该僵尸网络的攻击活动在利用CVE-2025-55182前经历了三个阶段：

• 2025年3-4月：初始侦察与手动漏洞扫描
• 2025年4-6月：每日对WordPress、Drupal、Struts2等Web应用及Wavlink路由器等IoT设备进行大规模漏洞探测
• 2025年7月至12月初：每小时执行自动化大规模部署

Part03

最新攻击技术细节

在2025年12月检测到的攻击中，威胁分子首先扫描存在漏洞的Next.js服务器，随后尝试投递加密货币挖矿程序（”/nuts/poop”）、僵尸网络加载器与健康检查工具（”/nuts/bolts”）以及Mirai僵尸网络变种（”/nuts/x86″）。

其中”/nuts/bolts”模块会在从C2服务器下载主僵尸程序前，终止竞品恶意软件和挖矿程序。该工具的某个变种会清除已知僵尸网络、基于Docker的有效载荷、历史攻击残留文件及相关定时任务，同时通过”/etc/crontab”建立持久化机制。CloudSEK指出：”该模块持续扫描/proc目录枚举运行中的可执行文件，每45秒终止非白名单进程，有效防止其他攻击者的重复感染。”

Part04

最新攻击技术细节

为应对此威胁，建议企业采取以下措施：

• 立即将Next.js升级至已修复版本
• 将所有IoT设备划分至专用VLAN
• 部署Web应用防火墙（WAF）
• 监控可疑进程执行行为
• 封锁已知C2基础设施

参考来源：

RondoDox Botnet Exploits Critical React2Shell Flaw to Hijack IoT Devices and Web Servers

https://thehackernews.com/2026/01/rondodox-botnet-exploits-critical.html

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《RondoDox僵尸网络利用高危React2Shell漏洞劫持IoT设备与Web服务器》